러시아, REvil 랜섬웨어 핵심 조직원 체포해

러시아연방보안국(FSB)이 미국 당국의 요청에 따라 모스크바, 상트페테르부르크, 레닌그라드, 리페츠크 등 25개 지역 수색을 통해 REvil 랜섬웨어 조직원 14명을 체포하였습니다. 구금된 이들은 모두 6년 이하의 징역형에 처할 수 있는 ‘불법 결제 수단 유통’ 혐의로 기소되었습니다.

[그림 1] FSB의 공식 발표 (출처 : FSB)

체포 과정에서 러시아 당국은 RaaS 운영을 통해 벌어들인 돈으로 구매한 고급 자동차 20대, 컴퓨터 장비, 약 680만 달러 및 REvil 랜섬웨어 조직이 사용한 암호화폐 지갑 등을 압수하였습니다.

REvil 조직원들은 랜섬웨어를 만들어 전 세계 기업 네트워크에 배포하는 것 외에도 외국 시민의 은행 계좌에서 돈을 훔치는 범죄에도 관여를 했습니다.

FSB는 러시아 내무부와 공동 조치 결과, 조직화된 범죄 커뮤니티가 존재하지 않게 되었고, 범죄 목적으로 사용되는 정보 인프라가 무력화되었다고 미국 관할 당국에 통보했습니다.

[그림 2] REvil 랜섬웨어 조직 사이트

하지만, 일각에서는 안전한 피난처로 여겨졌던 러시아의 이러한 움직임에 대해 회의적인 반응을 보이고 있습니다. 체포 시기가 최근 미·러 안보협상과 맞물리며 서방 국가와 협력하려는 러시아의 정치적 의도를 공식적으로 공개하기 위한 홍보 작전일 수 있다는 것입니다.

 

Revil 랜섬웨어 조직과 체포 배경

REvil 랜섬웨어(일명 Sodinokibi)는 2019년 4월 GandCrab 운영 중단 이후 등장하였으며, GandCrab 랜섬웨어와의 코드 유사점 및 기타 정황들에 근거하여 GandCrab과 연관있는 랜섬웨어로 알려졌습니다.

1년도 채 되지 않아, Revil 랜섬웨어 조직은 피해자에게 가장 높은 몸값을 요구하며 가장 활발하게 활동하는 랜섬웨어 조직이 되었습니다. 2019년 8월 텍사스의 여러 지방정부를 공격하고 당시 최고액인 250만 달러의 집단 몸값을 요구하기도 했습니다.

[그림 3] REvil 랜섬노트 예시 (출처 : cyjax)

REvil의 가장 널리 알려진 공격은 2021년 6월 전 세계적으로 약 1,500개의 기업을 대상으로 수행한 Kaseya 공급망 공격이며, 복호화를 위해 요구한 비용은 비트코인으로 약 7,000만 달러였습니다.

이 공격을 계기로, 바이든 대통령은 푸틴 대통령에게 러시아에 거주하는 사이버 범죄자들에 대한 조치를 취할 것을 요청했고, 그렇지 않으면 미국이 독자적으로 조치를 취할 것이라고 말했습니다.

REvil 조직은 처음에 ‘UNKN’이라는 이름의 대표자가 있었지만, 추후 러시아어를 사용하는 범죄 해커 커뮤니티에 REvil RaaS 사업을 홍보했던 ‘Unknown’으로 변경되었습니다. 해당 공개 대리인은 Kaseya 공격 이후 사라졌고(일부는 ‘Unknown’이 체포된 것으로 추정), 국제 법 집행 기관의 압력이 높아졌습니다.

Kaseya 공격 이후 잠잠했던 REvil 랜섬웨어는 2개월 후 재등장하였습니다.

이후에 미국과 국제 법 집행 기관이 랜섬웨어 활동의 구성원을 식별하고 체포하기 위해 힘을 합친 결과, REvil 랜섬웨어 조직에 대한 FSB의 조치가 이루어질 수 있었습니다.

미국은 2021년 11월 Kaseya 공격에 책임이 있는 REVil 랜섬웨어 계열사(우크라이나 국적의 야로슬라프 바신스키)를 체포하고 3,000여건의 랜섬웨어 공격을 전개한 것으로 추정되는 또 다른 REvil 파트너(러시아 국적의 예브게니 폴리아닌)로부터 600만달러 이상을 압류했다고 발표했습니다.

또한, 같은 달 루마니아 당국은 5000건의 사이버 공격으로 50만 유로를 벌어들인 REVIL 랜섬웨어 계열사 2곳을 체포했습니다.

(출처 :

https://www.bleepingcomputer.com/news/security/russia-arrests-revil-ransomware-gang-members-seize-66-million/

https://www.advintel.io/post/storm-in-safe-haven-takeaways-from-russian-authorities-takedown-of-revil

https://www.cyjax.com/2021/07/09/revilevolution/

)

보안관제센터 MIR Team