라다만티스, 베놈RAT 등 1000개 이상 서버 파괴하고 용의자도 체포
[보안뉴스 김형근 기자] 유럽연합(EU) 유로폴과 유로저스트가 주도하고, 9개국 사법 당국이 참여한 국제 사이버 범죄 소탕 작전 ‘엔드게임 작전’으로 글로벌 규모로 운영되던 악성코드 운영 조직들을 소탕했다.
이번 작전은 특히 암호화폐 탈취를 노리는 ‘라다만티스’ 인포스틸러를 비롯해 베놈RAT, 엘리시움 봇넷 등 주요 악성코드 운영 조직을 겨냥했다.
[자료: 라다만티스]
이 작전에서 사법 당국은 1025개에 달하는 서버를 파괴하고 20개 도메인을 압수하는 등 성과를 올렸다.
이 작전엔 크립토래무스, 섀도우서버, 프루프포인트, 크라우드스트라이크, 루멘 등 주요 민간 보안 기업도 다수 참가했다.
유럽 중심으로 한 대규모 사이버 범죄 인프라 붕괴
10-14일(현지시간) 사이 진행된 작전에서 경찰은 독일, 그리스, 네덜란드 등 11개 장소에서 현장 수색을 단행했다.
특히 베놈RAT 원격 접속 트로이 목마와 연관된 핵심 용의자 한 명을 3일 그리스에서 체포하는 개가를 올렸다.
유로폴은 붕괴된 악성코드 인프라가 수십만 대의 감염된 컴퓨터를 포함하고 있었다고 밝혔다. 이로 인해 수백만 개의 탈취된 자격 증명이 범죄자들의 손에 들어갔을 가능성이 높다.
유로폴 발표에 따르면, 인포스틸러 주요 용의자는 피해자들의 10만 개 이상 암호화폐 지갑에 접근할 수 있는 권한을 가지고 있었다.
이 암호화폐 자산은 수백만 유로 상당의 가치를 지닌 것으로 추정된다. 이번 작전 성공으로 막대한 금융 자산이 추가적으로 유출되는 것을 차단됐다.
유로폴은 컴퓨터 감염 여부를 확인할 수 있도록 공식 웹사이트 이용을 권고했다.
현장 급습, 핵심 용의자 체포...10만개 이상 암호화폐 지갑 접근 권한
작전에 참여한 민간 보안업체 루멘의 위협 인텔리전스 연구소 블랙 로터스 랩스는 라다만티스가 2023년부터 꾸준히 성장했으며, 특히 지난 10월과 11월 급격히 활동을 늘렸다고 분석했다.
이들은 하루 평균 300대의 활성 서버를 추적했으며, 10월에는 535대로 최고치를 기록했다.
더 심각한 것은 라다만티스의 C2 서버 가운데 60% 이상이 바이러스토탈에서 탐지되지 않는 상태를 유지하고 있었다는 점이다.
이러한 은밀한 능력으로 인해 2025년 10월에는 하루 평균 4000개 이상의 고유 IP 주소가 악성코드에 감염되는 피해를 낳았다.
라다만티스의 C2 서버는 미국, 독일, 영국, 네덜란드에 60% 이상이 집중돼 있었던 것으로 확인됐다.
이번 사법 당국의 성공적인 작전으로 라다만티스 운영이 붕괴되자, 이 서비스형 악성코드(MaaS) 고객들은 서버 접속 권한을 잃고 큰 혼란에 빠졌다.
라다만티스 이용자는 웹 패널 접속 기록에 독일 IP 주소가 남은 것을 보고 독일 법 집행기관이 배후라고 확신하는 텔레그램 메시지를 남기기도 했다.
엔드게임 작전은 과거에도 아이스드ID, 범블비, 트릭봇 등 주요 악성코드 인프라 서버 100개 이상을 압수하며 사이버 범죄 생태계에 큰 타격을 입힌 바가 있다.
또 랜섬웨어 인프라를 포함한 광범위한 범죄 네트워크를 지속적으로 표적으로 삼고 있다.
[김형근 기자(editor@boannews.com)]
[보안뉴스 김형근 기자] 유럽연합(EU) 유로폴과 유로저스트가 주도하고, 9개국 사법 당국이 참여한 국제 사이버 범죄 소탕 작전 ‘엔드게임 작전’으로 글로벌 규모로 운영되던 악성코드 운영 조직들을 소탕했다.
이번 작전은 특히 암호화폐 탈취를 노리는 ‘라다만티스’ 인포스틸러를 비롯해 베놈RAT, 엘리시움 봇넷 등 주요 악성코드 운영 조직을 겨냥했다.
[자료: 라다만티스]
이 작전에서 사법 당국은 1025개에 달하는 서버를 파괴하고 20개 도메인을 압수하는 등 성과를 올렸다.
이 작전엔 크립토래무스, 섀도우서버, 프루프포인트, 크라우드스트라이크, 루멘 등 주요 민간 보안 기업도 다수 참가했다.
유럽 중심으로 한 대규모 사이버 범죄 인프라 붕괴
10-14일(현지시간) 사이 진행된 작전에서 경찰은 독일, 그리스, 네덜란드 등 11개 장소에서 현장 수색을 단행했다.
특히 베놈RAT 원격 접속 트로이 목마와 연관된 핵심 용의자 한 명을 3일 그리스에서 체포하는 개가를 올렸다.
유로폴은 붕괴된 악성코드 인프라가 수십만 대의 감염된 컴퓨터를 포함하고 있었다고 밝혔다. 이로 인해 수백만 개의 탈취된 자격 증명이 범죄자들의 손에 들어갔을 가능성이 높다.
유로폴 발표에 따르면, 인포스틸러 주요 용의자는 피해자들의 10만 개 이상 암호화폐 지갑에 접근할 수 있는 권한을 가지고 있었다.
이 암호화폐 자산은 수백만 유로 상당의 가치를 지닌 것으로 추정된다. 이번 작전 성공으로 막대한 금융 자산이 추가적으로 유출되는 것을 차단됐다.
유로폴은 컴퓨터 감염 여부를 확인할 수 있도록 공식 웹사이트 이용을 권고했다.
현장 급습, 핵심 용의자 체포...10만개 이상 암호화폐 지갑 접근 권한
작전에 참여한 민간 보안업체 루멘의 위협 인텔리전스 연구소 블랙 로터스 랩스는 라다만티스가 2023년부터 꾸준히 성장했으며, 특히 지난 10월과 11월 급격히 활동을 늘렸다고 분석했다.
이들은 하루 평균 300대의 활성 서버를 추적했으며, 10월에는 535대로 최고치를 기록했다.
더 심각한 것은 라다만티스의 C2 서버 가운데 60% 이상이 바이러스토탈에서 탐지되지 않는 상태를 유지하고 있었다는 점이다.
이러한 은밀한 능력으로 인해 2025년 10월에는 하루 평균 4000개 이상의 고유 IP 주소가 악성코드에 감염되는 피해를 낳았다.
라다만티스의 C2 서버는 미국, 독일, 영국, 네덜란드에 60% 이상이 집중돼 있었던 것으로 확인됐다.
이번 사법 당국의 성공적인 작전으로 라다만티스 운영이 붕괴되자, 이 서비스형 악성코드(MaaS) 고객들은 서버 접속 권한을 잃고 큰 혼란에 빠졌다.
라다만티스 이용자는 웹 패널 접속 기록에 독일 IP 주소가 남은 것을 보고 독일 법 집행기관이 배후라고 확신하는 텔레그램 메시지를 남기기도 했다.
엔드게임 작전은 과거에도 아이스드ID, 범블비, 트릭봇 등 주요 악성코드 인프라 서버 100개 이상을 압수하며 사이버 범죄 생태계에 큰 타격을 입힌 바가 있다.
또 랜섬웨어 인프라를 포함한 광범위한 범죄 네트워크를 지속적으로 표적으로 삼고 있다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
