[보안뉴스 한세희 기자] 악명 높은 랜섬웨어 해커 그룹 록빗이 자기 데이터를 해킹 당하는 굴욕을 겪었다. 피해 기업과 협상한 채팅 기록도 다수 나와 눈길을 끌었다.
12일 관련 업계에 따르면, 록빗(LockBit)은 최근 해킹 공격을 당해 다크웹에 있는 자기 사이트 내 주요 데이터를 탈취당했다. 해커는 홈페이지도 변조해 탈취한 자료를 다운로드할 수 있는 링크를 올렸다. 또 “Don┖t do crime CRIME IS BAD xoxo from Prague”라는 메시지를 남겼다.
▲해킹 공격을 당해 변조된 록빗 다크웹 페이지 [자료: 블리핑컴퓨터]
해커가 록빗 사이트에서 훔쳐 공개한 MySQL 데이터베이스 파일엔 5만9975건의 비트코인 주소와 록빗 협력자들이 공격을 위해 만든 소프트웨어 관련 자료 등이 포함돼 있다.
특히 랜섬웨어 피해를 입은 기업 및 기관 등과 협상한 내용을 담은 채팅 기록 4442건이 포함돼 눈길을 끌었다. 록빗 데이터 패널 접근 권한을 가진 75명의 조직 관리자와 협력자들 목록도 있었으며, 여기엔 암호가 평문으로 저장돼 있었다.
파일이 생성된 시기와 협상 채팅 내용 등에 비추어 데이터 유출은 4월 29일 이전에 이뤄진 것으로 보인다.
록빗 운영자 ‘록빗섭’은 이 유출을 처음 포착한 보안 연구자 레이(Rey)와의 온라인 채팅에서 “비트코인 주소와 협상 채팅만 유출됐고, 록빗이 훔친 기업 자료 등 핵심 자산은 유출되지 않았다”고 주장했다.
▲피해자와의 협상 내용이 담긴 록빗 유출 데이터 [자료: 블리핑컴퓨터]
유출된 록빗 내부 데이터는 사이버 범죄 수사의 중요한 단서가 될 것으로 기대된다. 유출 데이터 분석 결과, 록빗 관리자 아이디와 비밀번호가 포함된 기록 76개도 발견됐다. 이중 22개에선 해커 세계에서 많이 쓰이는 톡스(TOX) 메신저 아이디도 나왔다. 이들 정보를 연결하면 해커 추적의 실마리가 될 수 있다.
보안 기업 서치라이트사이버의 위협정보 책임자 루크 도노반은 “유출된 데이터에서 확인한 TOX 아이디와 같은 아이디를 쓰는 해커 3명을 해커 온라인 포럼에서 발견했다”며 “이들의 온라인 대화를 분석해 해커들의 수법과 행태에 대해 보다 잘 이해할 수 있게 될 것”이라고 밝혔다.
록빗 해커와 피해 기업 간 대화 기록 역시 해커들의 협상 방식을 파악하는데 도움이 될 수 있다. 발견된 비트코인 지갑 주소도 경찰 수사에 유용할 것으로 보인다.
해킹 후 공격자가 록빗 페이지에 올린 메시지도 주목된다. 남겨진 ‘CRIME IS BAD’라는 메시지는 앞서 ‘에베레스트’라는 랜섬웨어 그룹이 해킹 당한 후 이들 홈페이지에 남겨진 메시지와 일치한다. 두 해킹 공격이 같은 사람의 소행이거나, 해커 조직 간 다툼의 결과일 수 있다는 관측이 나온다.
한편, 록빗은 이번 해킹 피해로 사이버 범죄 세계에서 평판이 더욱 떨어지리란 예측도 나온다. 록빗은 작년 2월 미국 연방수사국(FBI) ‘크로노스 작전’으로 34개 서버를 압수당하고, 복호화 키도 넘어가 피해자들이 데이터를 복구할 수 있었다. 이 여파로 늘 랜섬웨어 순위 1-2위를 지키던 록빗은 지난해 5위 밖으로 밀려났다.
[한세희 기자(boan@boannews.com)]
12일 관련 업계에 따르면, 록빗(LockBit)은 최근 해킹 공격을 당해 다크웹에 있는 자기 사이트 내 주요 데이터를 탈취당했다. 해커는 홈페이지도 변조해 탈취한 자료를 다운로드할 수 있는 링크를 올렸다. 또 “Don┖t do crime CRIME IS BAD xoxo from Prague”라는 메시지를 남겼다.
▲해킹 공격을 당해 변조된 록빗 다크웹 페이지 [자료: 블리핑컴퓨터]
해커가 록빗 사이트에서 훔쳐 공개한 MySQL 데이터베이스 파일엔 5만9975건의 비트코인 주소와 록빗 협력자들이 공격을 위해 만든 소프트웨어 관련 자료 등이 포함돼 있다.
특히 랜섬웨어 피해를 입은 기업 및 기관 등과 협상한 내용을 담은 채팅 기록 4442건이 포함돼 눈길을 끌었다. 록빗 데이터 패널 접근 권한을 가진 75명의 조직 관리자와 협력자들 목록도 있었으며, 여기엔 암호가 평문으로 저장돼 있었다.
파일이 생성된 시기와 협상 채팅 내용 등에 비추어 데이터 유출은 4월 29일 이전에 이뤄진 것으로 보인다.
록빗 운영자 ‘록빗섭’은 이 유출을 처음 포착한 보안 연구자 레이(Rey)와의 온라인 채팅에서 “비트코인 주소와 협상 채팅만 유출됐고, 록빗이 훔친 기업 자료 등 핵심 자산은 유출되지 않았다”고 주장했다.
▲피해자와의 협상 내용이 담긴 록빗 유출 데이터 [자료: 블리핑컴퓨터]
유출된 록빗 내부 데이터는 사이버 범죄 수사의 중요한 단서가 될 것으로 기대된다. 유출 데이터 분석 결과, 록빗 관리자 아이디와 비밀번호가 포함된 기록 76개도 발견됐다. 이중 22개에선 해커 세계에서 많이 쓰이는 톡스(TOX) 메신저 아이디도 나왔다. 이들 정보를 연결하면 해커 추적의 실마리가 될 수 있다.
보안 기업 서치라이트사이버의 위협정보 책임자 루크 도노반은 “유출된 데이터에서 확인한 TOX 아이디와 같은 아이디를 쓰는 해커 3명을 해커 온라인 포럼에서 발견했다”며 “이들의 온라인 대화를 분석해 해커들의 수법과 행태에 대해 보다 잘 이해할 수 있게 될 것”이라고 밝혔다.
록빗 해커와 피해 기업 간 대화 기록 역시 해커들의 협상 방식을 파악하는데 도움이 될 수 있다. 발견된 비트코인 지갑 주소도 경찰 수사에 유용할 것으로 보인다.
해킹 후 공격자가 록빗 페이지에 올린 메시지도 주목된다. 남겨진 ‘CRIME IS BAD’라는 메시지는 앞서 ‘에베레스트’라는 랜섬웨어 그룹이 해킹 당한 후 이들 홈페이지에 남겨진 메시지와 일치한다. 두 해킹 공격이 같은 사람의 소행이거나, 해커 조직 간 다툼의 결과일 수 있다는 관측이 나온다.
한편, 록빗은 이번 해킹 피해로 사이버 범죄 세계에서 평판이 더욱 떨어지리란 예측도 나온다. 록빗은 작년 2월 미국 연방수사국(FBI) ‘크로노스 작전’으로 34개 서버를 압수당하고, 복호화 키도 넘어가 피해자들이 데이터를 복구할 수 있었다. 이 여파로 늘 랜섬웨어 순위 1-2위를 지키던 록빗은 지난해 5위 밖으로 밀려났다.
[한세희 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
