2021년 10월 19일 미국가안보국 NSA와 미국토안보부 DHS 사이버 보안 인프라 보안 기관 CISA, 연방수사국 FBI가 사이버 범죄 그룹 블랙매터(BlackMatter)가 개발한 랜섬웨어 공격이 식품 산업과 농업 조직을 포함한 미국 중요 인프라에 미치는 막대한 영향을 끼치고 있다고 공동으로 경고했다.
지난 7월부터 미국 인프라를 겨냥한 블랙매터 랜섬웨어 공격이 빈발하고 있다. 블랙매터 랜섬웨어 공격은 CISA 주도 하에 2021년 10월 14일 공개된 상하수도 시설에 대한 공격에 대한 경고가 나온 직후였지만 며칠 뒤 음식 산업과 농업 조직에 대해서도 비슷한 경고가 나왔다.
CISA 측은 블랙매터 랜섬웨어는 표적 시스템을 잠그고 이를 해제하려면 모네로 등 암호화폐를 8만에서 1,500만 달러까지 몸값으로 요구하고 있다고 밝히고 있다.
블랙매터 랜섬웨어는 RaaS로 사이버 범죄자에 제공되며 공격자와 블랙매터가 몸값을 절반 나누는 동의 하에 공격하는 것이다. 구체적인 공격 방법으로는 백업 데이터 저장 위치와 기기를 암호화하는 게 아니라 대책으로는 백업 데이터 암호화, 강력한 고유 암호 사용, 다단계 인증 사용 등을 들 수 있다.
또 미국 최대 석유 파이프라인을 운영하는 콜로니얼파이프라인에 랜섬웨어 공격을 실시한 사이버 범죄 집단인 다크사이드가 제공한 RaaS가 이름을 바꾼 게 블랙매터 랜섬웨어가 될 수 있다. 또 블랙매터와 다크사이드는 지난 6월 육류 가공 공장에 랜섬웨어 공격을 한 조직(REvil)까지 3개 조직이 각각 관계를 갖고 있다는 조사 보고도 있다.
공개된 보안 자문에 따르면 랜섬웨어 공격 표적이 된 식품 산업과 농업 단체명은 밝혀지지 않았지만 피해 조직 등 보고와 보안 분석에 따라 랜섬웨어 공격에 대한 정보가 공개되지 않았다.
CISA는 구체적인 조직명은 언급하지 않았지만 지난 9월 아이오와주를 거점으로 활동하는 농업 관련 기업 뉴쿠퍼레이티브(New Cooperative)가 블랙매터 랜섬웨어 공격을 받은 시스템 일부가 오프라인 식량 공급을 일시적으로 중단했다고 보도했다. 이 때 기업 측은 590만 달러 몸값 요구를 받았다고 한다.
그 밖에도 미네소타 농업 공급 업체인 크리스탈밸리(Crystal Valley)도 랜섬웨어 공격을 받고 있지만 공격 측이 블랙매터라고 단정되지는 않았다. 하지만 사이버 보안 기업 관계자는 크리스털밸리에 대한 공격 배후에 블랙매터가 있다고 말하고 공격에 대해 언급하는 사이트 스크린샷도 공개하고 있다. 관련 내용은 이곳에서 확인할 수 있다.