테크레시피

랜섬웨어 사이트, 디도스 공격 받아 폐쇄 ‘왜?’

기업으로부터 훔친 정보를 공개하는 사이트인 락비트(LockBit)가 누군가에 의한 디도스 공격을 받아 사이트를 폐쇄했다. 공격 직전 락비트는 보안 기업 엔트러스트(Entrust) 데이터를 누설한다고 협박했는데 이게 공격의 방아쇠가 된 것으로 생각되고 있다.

러시아에 본사를 둔 락비트는 2019년 처음 확인된 이후 랜섬웨어 발신과 개선을 계속해 RaaS(Ransomware as a Service)를 전개하고 있으며 2022년에는 락비트 3.0을 만들어 기업에 대한 공격을 가속하고 있다.

디지털 보안 기업인 디지털셰도(Digital Shadows)에 따르면 락비트는 2022년 가장 활발했던 랜섬웨어 그룹 중 하나이며 2분기 유출된 기업 데이터 33% 가량에 관여한 것으로 보인다고 한다.

최근 피해자로는 프랑스 통신 사업자(La Poste Mobile), 아이폰 제조 위탁 기업인 폭스콘(Foxconn) 등을 들 수 있다. 더구나 락비트는 2022년 6월 발생한 보안 기업 엔트러스트에 대한 공격에 관여한 것으로 밝혀졌으며 훔친 데이터를 모두 공개한다는 위협을 해 8월 18일부터 점차 데이터를 누출하기 시작했다. 하지만 이 누출이 시작된지 하루가 지나지 않아 락비트에 대한 디도스 공격이 발생했고 락비트는 사이트를 폐쇄해야 했다.

이 디도스 공격이 누구에 의한 것인지 밝혀지지 않았지만 보안 연구 그룹(VX-Underground)에 따르면 락비트 대표자가 공격은 엔트러스트에 의한 것이라는 연락을 받았다고 한다. 공격자가 엔트러스트라는 근거는 디도스 공격 트래픽을 나타내는 유저 에이전트 캐릭터 라인에 기재된 내용(DELETE_ENTRUSTCOM_MOTHERFUCKERS) 때문이다.

락비트에 따르면 공격은 활발하게 이뤄지고 있으며 1,000대가 넘는 서버로부터 초당 400건 요청을 받고 있다고 한다. 락비트는 더 많은 데이터와 공격자 자금 누출이 이뤄지도록 하겠다며 반격 의지를 보여주고 있다.

엔트러스트 고객은 미국 국토안보부를 비롯한 정부 기관, 보험회사, 마이크로소프트 같은 기술 기업을 포함하고 있다. 6월 공격 시점 엔트러스트는 침해를 받은 사내 시스템과 제품, 서비스는 분리되어 있다면서도 법 집행기관과 협력해 대응할 것이라고 밝혔다. 이번 공격에 엔트러스트가 관여했는지는 아직 불분명하다. 관련 내용은 이곳에서 확인할 수 있다.

추천기사