도둑의 집을 털다? 보안전문가들, ‘블랙록’ 갱단 ‘해킹’ 역습 - 애플경제
도둑의 집을 털다? 보안전문가들, ‘블랙록’ 갱단 ‘해킹’ 역습 - 애플경제
[애플경제 이윤순 기자] 기업체 보안팀이나 보안 전문가들은 랜섬웨어 공격 등에 대비, 늘 긴장상태를 유지하고 있다. 그러나 거꾸로 일군의 보안 연구원들이 랜섬웨어 갱단을 해킹, 그 실체를
www.apple-economy.com
- 보안 전문가의 역공작 개요
- 사이버보안기업 리시큐리티(Resecurity)가 블랙록 랜섬웨어 갱단의 다크웹 인프라를 침투
- 공격자들이 운영하던 데이터 유출 사이트(DLS)에서 LFI(Local File Inclusion) 취약점을 이용해 내부 구조 및 운영정보 확보
- 피해자 목록, MEGA 클라우드 계정, 명령 실행 로그 등 랜섬웨어 운영 실체 드러나
- 수집 정보 및 피해 확산 방지 활동
- 블랙록의 C2 인프라 구성, 피해자 데이터 저장 메커니즘, 자격 증명 정보 획득
- MEGA 클라우드 기반 파일 저장소에서 사용된 이메일 주소 및 도난 데이터 유출 내역 분석
- 캐나다 사이버보안센터 및 프랑스 현지 피해자에게 사전 경고 수행
- 13개국, 46개 이상 조직·기관 피해자 식별 및 통보
- 기술적 침투 방식 및 활용된 취약점
- 다크웹 호스팅된 블랙록 DLS의 LFI 취약점을 활용해 서버에 저장된 파일 탐색 및 추출
- 클리어넷 IP 식별을 통한 서버 추적 및 메타데이터 분석
- MEGA 클라우드 서비스와 연동된 이메일 계정 파악 및 전송 내역 확보
- 랜섬웨어 시장 반응 및 조직 변화 조짐
- 블랙록의 내부 자료 유출로 범죄자 커뮤니티 내 신뢰도 하락 및 파트너 이탈 가능성 증가
- 블랙록의 전신은 엘도라도(El Dorado) 랜섬웨어로, 드래곤포스(DragonForce)와 경쟁 혹은 통합 관계
- 일부에서는 드래곤포스가 블랙록 인프라를 하이재킹하거나 인수했다는 추측 제기
- 경쟁 제거를 위한 파괴전 혹은 브랜드 위장 전환 시나리오 등 다양한 해석 존재
- 결론
- 본 사안은 블랙햇 행위자에 대한 화이트햇 사이드의 공격적 대응 사례로, 다크웹 위협 인프라에도 기술적 약점이 존재함을 입증
- 사이버위협 인텔리전스(CTI) 분석 시 공격자 인프라의 취약점 탐지 및 활용은 능동 방어 전략의 한 축으로 유효
- 향후 사이버범죄자 간 통합, 브랜드 교체, TTP 재구성 등 위협 조직 간 재편 가능성에 대한 지속 모니터링 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 구글 계정 로그인 기기 및 서드파티 연결 관리 보안 점검 가이드 (0) | 2025.05.09 |
|---|---|
| 태양광 발전 시스템 보안 취약점 분석 및 전력망 위협 가능성 (0) | 2025.05.09 |
| MailChimp 이메일 마케팅 플랫폼을 악용한 피싱 및 사회공학 공격 분석 (0) | 2025.05.09 |
| 안드로이드 금융앱 겨냥 새로운 트로이목마 'Crocodilus' 분석 (0) | 2025.05.09 |
| 스노우 화이트 불법 다운로드 위장 악성코드 유포 캠페인 분석 (0) | 2025.05.09 |