유럽형사경찰기구 유로폴이 11월 8일 랜섬웨어를 이용하는 사이버 범죄 조직인 REvil(Sodinokibi)과 관련 조직 용의자 7명이 우리나라와 루마니아, 폴란드, 쿠웨이트 등에서 잇따라 체포됐다고 발표했다. 또 미국 사법 당국은 이날 폴란드에서 체포된 우크라이나인을 IT 관리 서비스 카세야(Kaseya)에 대한 랜섬웨어 공격 혐의로 기소해 인도 절차를 진행하고 있다는 걸 밝혔다.
유로폴은 2018년 호주와 벨기에, 캐나다, 프랑스, 독일, 네덜란드, 룩셈부르크, 노르웨이, 필리핀, 루마니아, 우리나라, 스웨덴, 스위스, 쿠웨이트, 영국, 미국 등 17개국이 참가하는 골드더스트(GoldDust) 작전을 시작해 100만 명 이상 피해자를 낸 당시 최대 랜섬웨어 범죄 조직인 그랜드크랩(GandCrab) 수사를 시작했다. 유로폴에 따르면 그랜드크랩은 세계적인 식육 대기업인 JBS나 IT 관리 서비스 기업인 카세야에 대한 대규모 랜섬웨어 공격으로 알려진 레빌 전신이라고 한다.
그랜드크랩과 여기에서 파생된 레빌에 대한 수사를 하던 유로폴은 2021년 2, 4, 10월 레빌과 그랜드크랩 관계자 3명을 우리나라에서 체포했다. 더구나 10월에는 카세야 공격에 직접 관여한 레빌 관계자 1명이 폴란드에서 체포됐고 11월 4일에는 레빌 관계자 2명이 루마니아에서, 같은 날 그랜드크랩 관계자가 쿠웨이트에서 체포됐다. 이에 따라 지금까지 체포된 그랜드크랩과 레빌 관계자는 모두 7명이다.
2021년 2월 발표된 보고서에 따르면 레빌은 2020년에만 1억 2,300만 달러를 벌었다고 한다. 더구나 2021년에 들어 활동을 한층 강화하면서 애플이나 에이서 등을 잇달아 표적으로 삼고 7월에는 카세야 공격으로 다수 고객에게 엄청난 피해를 가져왔다.
카세야에 대한 공격과 관련해 미국 사법 당국은 11월 8일 카세야에 대한 2021년 7월 공격을 포함한 여러 랜섬웨어 공격을 벌인 것으로 10월 폴란드에서 체포된 22세 우크라이나인(Yaroslav Vasinskyi)을 용의자로 기소하고 인도 관련 수속을 실시하고 있다고 발표했다.
미국 사법부는 또 앞서 언급한 7명과 별도로 레빌 관계자인 28세 러시아인(Yevgeniy Polyanin)을 용의자로 기소하고 용의자가 암호화 자산 거래소 FTX에 보유하던 자금 610만 달러를 압류했다고 발표했다. 하지만 그는 아직 체포되지 않았다.
기소장에는 이들 용의자가 레빌 구성원과 공모하고 공격을 수행했다고 설명하고 있지만 구체적으로 어떤 행동을 취했는지는 밝히지 않았다. 하지만 만일 모두 죄가 재판에서 인정되어 용의자가 패소하면 이들은 각각 100년 이상 징역형을 부과받을 가능성도 있다고 한다. 관련 내용은 이곳에서 확인할 수 있다.