미국 연방수사국(FBI)이 Hive 랜섬웨어 조직의 컴퓨터 네트워크에 침투한 후 해당 웹사이트를 압수했습니다. 캘리포니아주에 있는 것으로 보입니다.
이 기관은 목요일 2022년 7월에 네트워크에 침투하여 암호 해독 키를 압수했다고 밝혔습니다. 그 이후로 300명의 피해자에게 조용히 그 열쇠를 제공했습니다. 또한 FBI는 이전 Hive 피해자들에게 1,000개가 넘는 추가 암호 해독 키를 배포했습니다.
어제 독일 법 집행 기관(독일 연방 형사 경찰 및 로이틀링겐 경찰 본부-CID Esslingen) 및 네덜란드 국립 첨단 기술 범죄 수사대와 협력하여 Hive 웹 사이트를 장악했습니다.
FBI는 이 발표를 통해 RCMP와 온타리오주의 필 지역 경찰(Peel Regional Police)을 포함한 여러 경찰력에 감사를 표했습니다.
관련 내용: Hive가 Bell 공격에 책임을 지다
메릭 갈랜드(Merrick Garland) 미국 법무장관은 이날 오전 성명을 통해 “어젯밤 법무부는 미국과 전 세계 피해자들로부터 수억 달러를 갈취하고 시도한 국제 랜섬웨어 네트워크를 해체했다”고 밝혔다.
“사이버 범죄는 끊임없이 진화하는 위협입니다. 그러나 제가 이전에 말했듯이, 법무부는 랜섬웨어 공격으로 미국을 표적으로 삼는 사람을 어디서나 식별하고 처벌하기 위해 자원을 아끼지 않을 것입니다. 우리는 이러한 공격을 예방하고 표적이 된 피해자에게 지원을 제공하기 위해 계속 노력할 것입니다. 그리고 우리는 국제 파트너들과 함께 이러한 공격을 전개하는 범죄 네트워크를 계속해서 파괴할 것입니다.”
2021년 6월부터 Hive 랜섬웨어 그룹은 전 세계 1,500명 이상의 피해자를 표적으로 삼았으며 몸값으로 1억 달러 이상을 받았습니다.
“그룹이 로스앤젤레스에 서버 리소스를 국내에 보관했다는 것은 다소 놀라운 일입니다.” Kaspersky의 수석 연구원인 Kurt Baumgartner는 말했습니다. “분명히 그들은 Tor 네트워크에 의해 모든 것이 보호되고 숨겨져 있다고 생각했습니다. 법 집행 기관은 갱단의 자원에 침투하여 압수하고 방해하는 데 있어 인상적인 능력을 보여주었습니다.”
브리티시 컬럼비아 소재 Emisisoft의 위협 분석가인 Brett Callow는 법 집행 기관이 확실히 랜섬웨어 운영을 방해하는 데 더 많은 성공을 거두고 있다고 말했습니다. 아마도 랜섬웨어 활동에 더 많은 자원이 할당되었기 때문일 것입니다. “개인의 중단은 전체 환경에 큰 영향을 미치지 않을 수 있지만, 수집된 정보는 랜섬웨어 공급망의 개인 및 기타 구성 요소를 표적으로 삼는 데 사용됩니다.”
Mandiant 위협 인텔리전스 책임자인 John Hultquist는 Hive 서비스 중단으로 인해 전반적인 랜섬웨어 활동이 크게 감소하지는 않지만 의료 시스템을 공격하여 생명을 위협하는 위험한 집단에게는 타격이 될 것이라고 말했습니다. “안타깝게도 랜섬웨어 문제의 중심에 있는 범죄 시장에서는 Hive 경쟁업체가 부재 시 유사한 서비스를 제공하기 위해 대기하게 되지만, 랜섬웨어가 병원을 표적으로 삼도록 허용하기 전에 두 번 생각할 수도 있습니다.
“이와 같은 행동은 랜섬웨어 운영에 마찰을 더합니다.”라고 그는 말했습니다. “Hive는 재편성, 재정비, 심지어 브랜드 변경까지 해야 할 수도 있습니다. 체포가 불가능할 경우 전술적 해결책과 더 나은 방어에 집중해야 합니다. 러시아의 안전한 피난처와 탄력적인 사이버 범죄 시장을 해결할 수 있을 때까지 이것이 우리의 초점이 되어야 할 것입니다.”
Hive는 가장 활동적인 랜섬웨어 운영 중 하나이며 아마도 가장 활동적일 것입니다. 그리고 2022년에 미국 정부, 학교 및 의료 서비스 제공자와 관련된 사건 중 최소 11건을 담당했습니다. Hive 랜섬웨어 공격으로 인해 피해자의 일상 업무에 큰 혼란이 발생했습니다. FBI는 전 세계가 코로나19 팬데믹(세계적 대유행)에 대한 대응에 영향을 받았다고 밝혔다. Hive 랜섬웨어 공격을 받은 병원은 기존 환자를 치료하기 위해 아날로그 방식에 의존해야 했고 공격 직후 신규 환자를 받을 수 없었습니다.
그룹의 배경 논문에 따르면 미국 사이버 보안 및 인프라 보안국(CISA)에 따르면 Hive 계열사는 Windows RDP(원격 데스크톱 프로토콜), VPN(가상 사설망) 및 기타 원격 네트워크 연결 프로토콜을 통해 단일 요소 로그인을 사용하여 피해자 네트워크에 대한 초기 액세스 권한을 얻는 경우가 많습니다.
어떤 경우에는 Hive 행위자가 알려진 패치가 적용되지 않은 취약점을 악용하여 다단계 인증을 우회하고 Fortinet FortiOS 서버에 대한 액세스 권한을 얻었습니다. CVE-2020-12812. 이 취약점으로 인해 악의적인 사이버 공격자가 사용자 이름의 대소문자를 변경할 때 사용자의 두 번째 인증 요소(FortiToken)를 묻는 메시지 없이 로그인할 수 있습니다.
또한 Hive 공격자는 악성 첨부 파일이 포함된 피싱 이메일을 배포하여 피해자 네트워크에 대한 초기 액세스 권한을 얻었습니다.
이와 별도로 오늘 Cyberint는 2022년 랜섬웨어 동향에 대한 보고서를 발표했습니다. 결론은 다음과 같습니다.
-
미국은 여전히 세계에서 가장 많이 표적이 되는 지역으로 피해자가 1,060명으로 작년보다 거의 300명 감소했으며 영국, 캐나다, 독일이 그 뒤를 이었습니다.
-
2분기와 3분기에는 랜섬웨어 활동이 크게 감소한 반면(각각 708건과 666건으로 1분기의 763건에서 감소), 4분기는 672건으로 소폭 증가했습니다. Cyberint 분석가는 4분기의 증가를 랜섬웨어 활동에 새로운 유망 그룹이 설립되었음을 나타내는 것으로 설명합니다. Royal, BlackBasta 등 3분기와 4분기가 강세를 보이고 있습니다.
-
LockBit 3.0은 다른 그룹처럼 “PR”을 위해 Twitter를 사용하지 않고 권력을 잡고 명성을 얻는 일이 점점 더 많아지고 있습니다.
-
랜섬웨어 세계의 인재 채용이 판도를 바꾸고 있습니다. 그룹의 오만함과 강인함을 보여준 Lockbit의 '버그 바운티 프로그램'은 서버에서 취약점을 발견한 모든 사람에게 보상을 제공했습니다.
-
2022년 말 Royal의 부상으로 이미 LockBit보다 높은 피해자 수를 달성했으며, 이는 2023년에 둘 사이의 경쟁이 예상될 수 있음을 시사합니다.
이 이야기는 Emsisoft, Mandiant의 의견과 Kaspersky의 추가 정보로 업데이트되었습니다.