3줄 요약
1. 한 텔레그램 사용자가 블랙바스타 내부 정보 공개.
2. 멤버 간 대화 메시지 20만 건.
3. 블랙바스타에 치명적 사건..부활 불가능할 듯.
[보안뉴스 문가용 기자] 악명 높은 랜섬웨어 블랙바스타(BlackBasta)의 내부 정보가 유출됐다. 랜섬웨어 조직 멤버들끼리 무슨 이야기를 나누는지, 랜섬웨어 조직은 어떤 식으로 운영되는지 엿볼 수 있게 해 주는 정보라 보안 전문가들 사이에서 관심이 뜨겁다.
[자료: gettyimagesbank]
랜섬웨어로 돈을 버는 사업을 한다는 것만 빼놓고 블랙바스타는 일반 기업처럼 운영되고 있었다. 멤버들 역시 일반 기업 직원들처럼 대화하고 있었다. 사업 전략 논쟁과 월급 불평, 상사 ‘뒷담화’, 암호화폐의 미래에 대한 진지하고 긴 토론, 일 못하는 동료 험담 등 평범했다.
이런 사실은 2월 11일 익스플로잇위스퍼즈(ExploitWhispers, 이하 EW)라는 이름의 텔레그램 사용자가 내부 로그를 공개하면서 알려졌다. 약 20만개의 메시지가 포함된 로그다. EW는 최근 블랙바스타가 러시아 은행들을 공격했고, 그에 대한 보복이라며 정보 공개의 이유를 밝혔다. 여러 보안 전문가들이 해당 데이터를 검사했고, 신뢰할 만하다고 평가하고 있다.
드러난 사실들
아직 데이터 분석은 완료되지 않았다. ‘20만개’라는 분량도 그렇고, 전부 러시아어로 작성돼 있기 때문에 결과가 나오려면 시간이 더 걸릴 것으로 예상된다. 하지만 블랙바스타가 현재까지 단일 사건으로 피해자에게 요구한 금액 중 최고는 2870만불인 것으로 드러났다. 한 조직으로부터 1.5테라바이트 데이터를 훔쳐낸 후 요구한 액수다. 다만 48시간 안에 지불을 하기로 한다면 50% 할인해 준다고 제안했다. 결과가 어땠는지는 알 수 없다.
전문가들은 처음에 터무니 없이 높은 값을 부른 후 할인 기간을 설정하는 게 블랙바스타의 수법일 가능성이 높다고 보고 있다. 또 다른 기업의 경우 블랙바스타가 처음 150만달러를 요구했는데, 협상 후 100만달러로 합의를 보기도 했다. 깎아줄 것을 예상하고 높은 금액을 부름으로써 공포심을 조장하는 블랙바스타의 전략이 드러난다.
조직 내부에 불화가 있었다는 사실도 드러났다. 표적형 피싱 공격을 실시할지, 대량 스팸 캠페인을 진행할지, 내부에서 격렬한 논쟁이 있었던 것. 특정 직원의 실수를 지적하고 불만을 터트리는 대화 메시지도 발견됐다. 일각에서는 이런 불화가 결국 이번 정보 유출로 이어진 것 아니냐는 의심을 제기한다.
내부 단속의 어려움
불화로 인한 내부 정보 유출이 의심되는 건, 2022년에도 비슷한 사건이 있었기 때문이기도 하다. 당시 악명을 떨치던 콘티(Conti) 랜섬웨어 조직이 러시아를 지지하냐 우크라이나를 지지하냐를 두고 내부 분열을 일으켰다. 그러면서 멤버 중 한 명이 내부 대화 기록과 소스코드를 공개했다. 이를 통해 콘티가 약 100명의 직원으로 구성된 조직이며, 일반 기업처럼 운영된다는 걸 알아냈다. 콘티의 리더와 러시아 보안국(FSB) 간 긴밀한 관계가 유지되고 있었다는 정황도 나타났다.
그 유출 사건 하나로 분열된 콘티는 현재 ‘슬립모드’를 유지 중이다. 다만 멤버들이 여러 다른 조직으로 갈라져 각기 활동을 이어가고 있다. 오늘 화제가 된 블랙바스타도 이 콘티에서 갈라져 나온 그룹 중 하나다. 콘티의 친러 행보에 불만을 품은 자들이 나와 조직한 것으로 알려져 있다.
모체인 콘티 뒤 따르나
블랙바스타도 콘티의 뒤를 따르는 것으로 보인다. 이미 지난 여름부터 활동량이 급격히 줄어든 것이다. 사법 활동으로 와해된 것도 아니고, 다른 랜섬웨어 그룹과의 경쟁에서 밀려난 것도 아닌데 아무 징조 없이 힘이 빠지고 있었다. 보안 업체 프로다프트(Prodaft)는 소셜미디어를 통해 “내부 갈등 때문에 활동을 하지 못하는 상황”이라고 알린 바 있다.
그런 가운데 이번 유출 사고가 터진 것으로, 블랙바스타가 콘티의 전철을 밟고 있다는 정황이 보다 분명해졌다. 하지만 아직 확실한 건 아니다. 과거 랜섬웨어 조직들은 “휴가를 떠난다”며 잠시 활동을 중단하기도 했었다. 심지어 은퇴를 발표하면서 잠적했다가 다시 나타난 사례들도 있다.
조직 내 트럼프 미국 대통령에 대한 불만이 광범위하게 퍼져 있다는 것이 눈에 띈다고 보안 업체 레드센스(RedSense)는 지적한다. 콘티가 정치적 견해로 갈린 반면 트럼프에 대한 의견은 통일된 것으로 보인다. 이 점은 콘티와 다르다.
보안 업체 마스토돈(Mastodon)의 연구원들은 “블랙바스타가 이 사건으로 큰 피해를 입었을 것”이라며 “더 이상 운영이 쉽지 않으며, 사라지는 수순을 밟게 될 것”이라고 예측했다. 랜섬웨어는 하나의 커다란 산업이고 블랙바스타는 브랜드인데, 내부자 유출로 시장에서의 신뢰가 깨졌다는 설명이다.
[국제부 문가용 기자(globoan@boannews.com)]
1. 한 텔레그램 사용자가 블랙바스타 내부 정보 공개.
2. 멤버 간 대화 메시지 20만 건.
3. 블랙바스타에 치명적 사건..부활 불가능할 듯.
[보안뉴스 문가용 기자] 악명 높은 랜섬웨어 블랙바스타(BlackBasta)의 내부 정보가 유출됐다. 랜섬웨어 조직 멤버들끼리 무슨 이야기를 나누는지, 랜섬웨어 조직은 어떤 식으로 운영되는지 엿볼 수 있게 해 주는 정보라 보안 전문가들 사이에서 관심이 뜨겁다.
[자료: gettyimagesbank]
랜섬웨어로 돈을 버는 사업을 한다는 것만 빼놓고 블랙바스타는 일반 기업처럼 운영되고 있었다. 멤버들 역시 일반 기업 직원들처럼 대화하고 있었다. 사업 전략 논쟁과 월급 불평, 상사 ‘뒷담화’, 암호화폐의 미래에 대한 진지하고 긴 토론, 일 못하는 동료 험담 등 평범했다.
이런 사실은 2월 11일 익스플로잇위스퍼즈(ExploitWhispers, 이하 EW)라는 이름의 텔레그램 사용자가 내부 로그를 공개하면서 알려졌다. 약 20만개의 메시지가 포함된 로그다. EW는 최근 블랙바스타가 러시아 은행들을 공격했고, 그에 대한 보복이라며 정보 공개의 이유를 밝혔다. 여러 보안 전문가들이 해당 데이터를 검사했고, 신뢰할 만하다고 평가하고 있다.
드러난 사실들
아직 데이터 분석은 완료되지 않았다. ‘20만개’라는 분량도 그렇고, 전부 러시아어로 작성돼 있기 때문에 결과가 나오려면 시간이 더 걸릴 것으로 예상된다. 하지만 블랙바스타가 현재까지 단일 사건으로 피해자에게 요구한 금액 중 최고는 2870만불인 것으로 드러났다. 한 조직으로부터 1.5테라바이트 데이터를 훔쳐낸 후 요구한 액수다. 다만 48시간 안에 지불을 하기로 한다면 50% 할인해 준다고 제안했다. 결과가 어땠는지는 알 수 없다.
전문가들은 처음에 터무니 없이 높은 값을 부른 후 할인 기간을 설정하는 게 블랙바스타의 수법일 가능성이 높다고 보고 있다. 또 다른 기업의 경우 블랙바스타가 처음 150만달러를 요구했는데, 협상 후 100만달러로 합의를 보기도 했다. 깎아줄 것을 예상하고 높은 금액을 부름으로써 공포심을 조장하는 블랙바스타의 전략이 드러난다.
조직 내부에 불화가 있었다는 사실도 드러났다. 표적형 피싱 공격을 실시할지, 대량 스팸 캠페인을 진행할지, 내부에서 격렬한 논쟁이 있었던 것. 특정 직원의 실수를 지적하고 불만을 터트리는 대화 메시지도 발견됐다. 일각에서는 이런 불화가 결국 이번 정보 유출로 이어진 것 아니냐는 의심을 제기한다.
내부 단속의 어려움
불화로 인한 내부 정보 유출이 의심되는 건, 2022년에도 비슷한 사건이 있었기 때문이기도 하다. 당시 악명을 떨치던 콘티(Conti) 랜섬웨어 조직이 러시아를 지지하냐 우크라이나를 지지하냐를 두고 내부 분열을 일으켰다. 그러면서 멤버 중 한 명이 내부 대화 기록과 소스코드를 공개했다. 이를 통해 콘티가 약 100명의 직원으로 구성된 조직이며, 일반 기업처럼 운영된다는 걸 알아냈다. 콘티의 리더와 러시아 보안국(FSB) 간 긴밀한 관계가 유지되고 있었다는 정황도 나타났다.
그 유출 사건 하나로 분열된 콘티는 현재 ‘슬립모드’를 유지 중이다. 다만 멤버들이 여러 다른 조직으로 갈라져 각기 활동을 이어가고 있다. 오늘 화제가 된 블랙바스타도 이 콘티에서 갈라져 나온 그룹 중 하나다. 콘티의 친러 행보에 불만을 품은 자들이 나와 조직한 것으로 알려져 있다.
모체인 콘티 뒤 따르나
블랙바스타도 콘티의 뒤를 따르는 것으로 보인다. 이미 지난 여름부터 활동량이 급격히 줄어든 것이다. 사법 활동으로 와해된 것도 아니고, 다른 랜섬웨어 그룹과의 경쟁에서 밀려난 것도 아닌데 아무 징조 없이 힘이 빠지고 있었다. 보안 업체 프로다프트(Prodaft)는 소셜미디어를 통해 “내부 갈등 때문에 활동을 하지 못하는 상황”이라고 알린 바 있다.
그런 가운데 이번 유출 사고가 터진 것으로, 블랙바스타가 콘티의 전철을 밟고 있다는 정황이 보다 분명해졌다. 하지만 아직 확실한 건 아니다. 과거 랜섬웨어 조직들은 “휴가를 떠난다”며 잠시 활동을 중단하기도 했었다. 심지어 은퇴를 발표하면서 잠적했다가 다시 나타난 사례들도 있다.
조직 내 트럼프 미국 대통령에 대한 불만이 광범위하게 퍼져 있다는 것이 눈에 띈다고 보안 업체 레드센스(RedSense)는 지적한다. 콘티가 정치적 견해로 갈린 반면 트럼프에 대한 의견은 통일된 것으로 보인다. 이 점은 콘티와 다르다.
보안 업체 마스토돈(Mastodon)의 연구원들은 “블랙바스타가 이 사건으로 큰 피해를 입었을 것”이라며 “더 이상 운영이 쉽지 않으며, 사라지는 수순을 밟게 될 것”이라고 예측했다. 랜섬웨어는 하나의 커다란 산업이고 블랙바스타는 브랜드인데, 내부자 유출로 시장에서의 신뢰가 깨졌다는 설명이다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
