운영 중단한 Conti 랜섬웨어, 다른 공격 그룹에 합류

악명 높은 Conti 랜섬웨어 그룹의 인프라가 오프라인으로 전환되는 등 Conti 그룹이 공식적으로 운영을 중단했습니다.

 

이 소식은 미국 보안업체 Advanced Intel의 Yelisey Boguslavskiy가 Conti 그룹의 내부 인프라가 꺼져 있다고 트윗하면서 알려졌습니다.

[그림1] Yelisey Boguslavskiy의 트윗(출처: Twitter)

 

데이터 유출ꞏ몸값 협상 사이트인 ‘Conti News'는 여전히 온라인 상태이지만, Boguslavskiy는 BleepingComputer와의 인터뷰에서 "Conti 그룹 회원들이 협상하고, 데이터 유출 사이트의 소식을 전달하는 Tor 관리자 패널은 현재 오프라인 상태"라고 말했습니다. 또한, Rocket.chat 서버와 같은 다른 내부 서비스들이 종료되었다고 말했습니다.

 

Boguslavskiy는 "Conti 그룹이 코스타리카 정부와의 정보전 중에 운영을 중단한 것이 이상하게 보일 수는 있지만, Conti 그룹 조직원들이 서서히 다른 소규모 랜섬웨어로 이동하는 것을 감추기 위해 코스타리카 정부를 공격했다"고 주장했습니다.

[그림2] 코스타리카 정부에 대한 콘티의 위협

 

Advanced Intel은 "Conti 그룹의 공격 목표는 코스타리카 정부를 공격함으로써 그룹을 홍보하고, 그럴듯한 방식으로 운영을 중단해 리브랜딩을 수행하기 위함”이라고 다음 날 발표할 보고서에 대해 설명했습니다.

 

Conti 그룹 운영진은 이미 내부적으로 “코스타리카 정부를 랜섬웨어 몸값 대신 홍보 목적으로 공격하겠다고 선언”했다고 합니다. 조직원들의 내부 통신에 따르면 랜섬웨어 몸값은 100만 달러에 훨씬 못 미쳤지만 요청된 몸값이 $1,000만 달러라는 확인되지 않은 주장에, Conti 그룹은 $2,000만 달러라고 주장했습니다.

 

Conti 그룹 사라졌지만, 공격은 계속돼

Conti 랜섬웨어 그룹은 더 이상 존재하지 않지만, 공격자들의 랜섬웨어 공격은 지속될 것입니다. Boguslavskiy는 "Conti 그룹이 또 다른 대규모 랜섬웨어 그룹으로 리브랜딩 하는 대신 Conti 운영진이 다른 소규모 랜섬웨어 그룹과 협력해 공격을 수행했다"고 말했습니다.

 

이런 협력하에 소규모 랜섬웨어 조직은 경험이 풍부한 Conti 그룹의 초기 액세스 브로커(Initial Access Broker), 협상가, 운영자를 얻었습니다. Conti 그룹은 소규모의 랜섬웨어 조직으로 나눠지면서 더욱 이동성이 커지고 법 집행 기관으로부터 쉽게 도망칠 수 있게 되었습니다.

 

Advanced Intel 보고서는 "Conti 그룹이 HelloKitty, AvosLocker, Hive, BlackCat, BlackByte 등을 포함하여 잘 알려진 랜섬웨어 작업과 파트너 관계를 맺었다"고 설명합니다.

 

협상가, 인텔 분석가, 초기 액세스 브로커, 개발자 등 기존 Conti 조직원은 다른 랜섬웨어 운영 전반에 걸쳐 퍼져 있습니다. Conti 조직원들은 이제 다른 랜섬웨어 작업의 암호화 도구와 협상 사이트를 사용하지만 여전히  Conti 그룹의 조직원입니다.

[그림 3] 다른 랜섬웨어 작업으로 확산하는 Conti 그룹 구성원(출처: Advanced Intel)

 

Advanced Intel은 "데이터 암호화가 아닌 데이터 유출에 초점을 맞춘 Conti 구성원의 새로운 자율 그룹이 만들어졌다"고 밝혔습니다. 대표적으로 Karakurt, BlackByte, Bazarcall 그룹이 있습니다.

 

이제 더이상 Conti라는 이름으로 운영되지 않지만, 기존 사이버 범죄 조직에 합류해 Conti 조직원들은 여전히 활동하고 있습니다.

 

Conti 그룹 운영 중단의 배경

Conti 그룹의 리브랜딩은 지난 몇 달 동안 Conti 그룹을 분석한 연구원과 언론인에게 놀라운 일은 아닙니다. Conti 랜섬웨어 작업은 2020년 여름 Ryuk 랜섬웨어를 대체하면서 시작되었습니다.

 

Ryuk 랜섬웨어와 마찬가지로 Conti 랜섬웨어는 초기 액세스를 위해  다른 악성코드(TrickBot, BazarLoader) 배포자와의 파트너십을 이용했습니다. 시간이 지나면서 Conti 그룹은 TrickBot, BazarLoader, Emotet의 작업을 흡수하며 가장 큰 랜섬웨어 그룹으로 성장했고, 악명 높은 사이버 범죄 조직으로 발전했습니다.

 

Conti 랜섬웨어 그룹은 미국 오클라호마주 털사(Tulsa)시(市), 미국 6대 공립학교 시스템인 플로리다의 브라우어드 카운티 공립학교(Broward County Public Schools), IoT 칩 제조업체 어드밴텍(Advantech)을 공격했습니다. 또한, Conti 랜섬웨어 그룹은 아일랜드 보건당국(HSE)과 보건부(DoH)를 공격해 몇 주 동안 아일랜드의 IT 시스템을 중단시켜 언론의 주목을 받았습니다. 

 

Conti 그룹은 아일랜드의 보건당국에 무료 복호화 도구를 제공 했지만, 이미 Conti 그룹은 전 세계 법 집행 기관의 표적이 되었습니다.

 

Conti 그룹이 러시아의 우크라이나 침공을 지지한 이후, 우크라이나 보안 연구원이 Conti 그룹 조직원들간의 내부 채팅 내역 17만 건과 Conti 랜섬웨어 소스코드를 유출하기 시작했습니다.

[그림 4] 러시아의 우크라이나 침공을 지지하는 Conti 그룹

 

Conti 랜섬웨어 소스코드가 유출되자 다른 위협 행위자들은 소스코드를 자신들의 공격에 사용하기 시작했고, 어나니머스 소속 해킹그룹 NB65는 러시아 기업(러시아 우주국 로스코스모스 관제 센터, 러시아 국영 방송 기업 VGTRK)을 공격할 때 Conti 랜섬웨어를 이용했습니다.

 

미국연방수사국(FBI)은 콘티 피해자 1천 명 이상이 총 1억 5,000만 달러(약 1천913억 원)의 랜섬웨어 몸값을 지불한 것으로 추정하고 있습니다. 미국 국무부는 러시아 기반 Conti 그룹을 잡기 위해 최대 1천500만 달러(약 191억 원)의 현상금을 걸었습니다.

 

출처

https://www.advintel.io/post/discontinued-the-end-of-conti-s-brand-marks-new-chapter-for-cybercrime-landscapehttps://twitter.com/y_advintel/status/1527360416724094989

https://www.bleepingcomputer.com/news/security/conti-ransomware-shuts-down-operation-rebrands-into-smaller-units/

 

보안관제센터 MIR Team