“랜섬웨어, 공격 조직 내부 갈등으로 붕괴된다” - 데이터넷
“랜섬웨어, 공격 조직 내부 갈등으로 붕괴된다” - 데이터넷
[데이터넷] 랜섬웨어 조직도 결국은 사람이 운영하는 것이다. 조직과 조직원의 오해와 배신으로 인한 폭로와 몰락이 이어진다.2월 11일 익스플로잇위스퍼즈(EW)라는 텔레그램 사용자가 블랙바스
www.datanet.co.kr
- 주요 배경
- 블랙바스타(Black Basta) 내부 분열로 조직 정보가 유출되고 일부 조직원은 캑터스(Cactus)로 이동
- 익스플로잇위스퍼즈(ExploitWhispers, EW)가 텔레그램을 통해 블랙바스타의 내부 로그 20만여 건 공개
- 공개된 정보에는 피싱 템플릿, 피해자 자격 증명, 암호화폐 지갑, 공격자 정보 등 포함
- 내부 폭로의 원인과 결과
- 블랙바스타가 러시아 은행을 공격한 것이 EW의 내부 폭로 배경
- 블랙바스타가 러시아 기반임에도 자국 금융기관 공격 → 내부 반감 조성
- 조직 구조, 커뮤니케이션 방식, 공격 방식 등 노출로 인해 전술 노출 및 해체 가능성 증가
- 공격 전술 분석 (블랙바스타 & 캑터스 공통 전술)
- 마이크로소프트 팀즈 사칭 → 피해자와 통화 유도
- 대량 스팸메일로 혼란 유발 후 IT 부서 사칭
- 원격 지원 도구인 퀵어시스트(Quick Assist)를 통해 백커넥트(BackConnect) 멀웨어 설치
- 백커넥트는 트렌드마이크로에서 큐백커넥트(QBACKCONNECT)로 탐지 → 차단된 칵봇(QakBot)과 연관
- 랜섬웨어 생태계의 분화 사례
- 2022년 콘티(Conti)의 와해 이후 파생된 그룹들: 블랙바스타, 알프브이/블랙캣(ALPHV/BlackCat), 로열(Royal)
- 이와 유사하게 블랙바스타 조직원 일부가 캑터스로 이동하며 전술 공유 및 연계 가능성 시사
- 보안 권고
- 원격 지원 툴의 무단 사용 비활성화
- 직원 대상 사회공학 기법 대응 교육 실시
- 팀즈와 같은 협업 툴에 대한 보안 모범 사례 적용
- XDR 솔루션 회피 사례 증가 → 다계층 탐지 대응 필요
- 결론
- 랜섬웨어 그룹도 내부 조직의 인간적 갈등으로 인해 와해될 수 있으며, 이로 인해 공격 전술이 유출되고 위협 수준이 변화
- 기존 전술이 다른 그룹으로 이어질 수 있어 공격자 간 연계 추적 및 위협 인텔리전스 공유 필수
- 기업은 원격 지원, 협업 도구, 사회공학 대응체계 강화와 함께 XDR 기반의 사이버 보안 통합 플랫폼 구축이 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 제조업계를 겨냥한 사이버 공격 증가와 대응 미비 현황 (0) | 2025.03.30 |
|---|---|
| 해커의 관점에서 분석한 금융 본인 인증 체계의 취약점과 대응 방안 (0) | 2025.03.30 |
| 카카오 고객센터 사칭 및 개인정보위 사칭 피싱 사기 급증 (0) | 2025.03.30 |
| AI 기반 스팸·사기 방지, 안드로이드의 새로운 실시간 탐지 기능 (0) | 2025.03.25 |
| CACTUS 랜섬웨어의 TTP에서 Black Basta 조직과의 연계 정황 식별 (0) | 2025.03.25 |