이석원 기자
보안 기업 자스케일러(Zscaler)가 랜섬웨어 공격 피해 상황을 정리한 보고서를 공개했다. 이 보고서에 따르면 2024년 랜섬웨어 그룹 다크엔젤스(Dark Angels)가 랜섬웨어 공격으로 인한 몸값으로는 역대 최고액인 7,500만 달러를 받았다고 한다.
최근 몇 년간 랜섬웨어 공격 피해가 증가하고 있다. 이런 랜섬웨어 공격으로 인한 피해 상황을 정리한 보고서를 2024년 7월 31일 자스케일러 보안 연구 부문(ThreatLabz)이 공개했다. 이 보고서에 따르면 한 기업이 지불한 몸값으로는 역대 최고액인 7,500만 달러를 어떤 기업이 다크엔젤스에 지불한 것으로 밝혀졌다. 이는 일반적으로 알려진 몸값 지불액 2배에 해당하는 금액이라고 한다.
자스케일러가 공개한 보고서에 대해 블록체인 분석 회사인 체이널리시스(Chainalysis)도 2024년 초 랜섬웨어 공격으로 인한 몸값으로 역대 최고액인 7,500만 달러가 지불된 건 확실하다고 게시해 7,500만 달러 몸값이 지불된 걸 인정했다.
지금까지 알려진 랜섬웨어 공격에 대해 지불된 몸값 최고액은 대형 보험회사인 CNA가 랜섬웨어 그룹 이블(Evil Corp)에 지불한 4,000만 달러였다.
자스케일러는 7,500만 달러 몸값을 지불한 기업명을 밝히지 않았지만 이 기업은 포춘 50위 안에 들어가며 2024년 초 랜섬웨어 공격 피해를 입었다고 한다. 포춘 50위 안에 든 기업 중에서는 2024년 2월 제약 대기업 센코라(Cencora)가 사이버 공격을 받았다. 이 사이버 공격에 대해 랜섬웨어 그룹 다크엔젤스는 범행 성명을 내지 않았기 때문에 기업 측이 몸값을 지불했을 가능성이 있다는 지적이다.
한편 체이널리시스는 랜섬웨어 공격이 활발해지기 시작한 2019년 이후 연간 랜섬웨어 공격에 대해 지불된 몸값 총액을 정리한 그래프를 공개했다. 이에 따르면 연간 몸값 지불 총액이 가장 높았던 해는 2023년으로 11억 달러다.
랜섬웨어 그룹 다크엔젤스는 2022년 5월 활동을 시작해 전 세계 기업을 대상으로 랜섬웨어 공격을 가하고 있는 조직이다. 다크엔젤스 운영자는 기업 네트워크에 침입해 관리자 권한을 획득한 뒤 서버에서 데이터를 훔쳐낸다. 이어서 윈도 서버 도메인 컨트롤러에 대한 접근을 획득하고 랜섬웨어를 배포해 네트워크상 모든 장치를 암호화하고 사용 불가능하게 만든다.
We can confirm that early this year we saw the largest ransomware payment ever at $75M. The “big game hunting” trend we discussed in our 2024 crime report – fewer attacks on larger targets with deeper pockets – is becoming more pronounced. https://t.co/Z0yvg3Zvp2 pic.twitter.com/4FsivojtA5
— Chainalysis (@chainalysis) July 30, 2024
다크엔젤스는 바둑(Babuk)이라 불리는 랜섬웨어 소스 코드를 기반으로 윈도 및 VM웨어 ESXi를 암호화하는 도구를 사용했지만 점차 랜섬웨어 그룹 라그나 로커(Ragnar Locker)가 사용하는 것과 같은 리눅스 기반 암호화 도구를 사용하게 됐다고 한다.
2023년 9월 다크엔젤스는 리눅스 기반 암호화 도구를 사용해 존슨컨트롤스(Johnson Controls)에 랜섬웨어 공격을 가했으며 27테라바이트에 달하는 기업 데이터를 훔치고 5,100만 달러 몸값을 요구했다.
한편 다크엔젤스는 던힐릭스(Dunghill Leaks)라는 데이터 유출 사이트도 운영하고 있으며 몸값을 지불하지 않은 기업 데이터는 이 사이트에서 공개하고 있다. 자스케일러에 따르면 다크엔젤스는 소액 몸값을 여러 기업에서 모으는 대신 한 기업에서 거액의 몸값 지불을 노리는 전략을 채택하고 있으며 따라서 다크엔젤스는 고도로 표적을 좁힌 접근 방식을 채택하고 있으며 보통 한 번에 한 대기업을 공격한다면서 이는 피해자를 무차별적으로 표적으로 삼고 공격 대부분을 초기 접근 브로커나 침투 테스트 팀 관련 네트워크에 아웃소싱하는 대부분 랜섬웨어 그룹과는 완전히 대조적이라고 기술하고 있다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
