Mandiant, LockBit 랜섬웨어에 해킹당했다는 주장에 “증거 없다”

 

3월에 Google에 인수된 미국 사이버 보안 회사인 Mandiant는 회사 네트워크를 해킹하고 데이터를 탈취했다는 Lockbit 랜섬웨어 갱단의 주장을 조사하고 있습니다. 

 

LockBit 랜섬웨어 그룹은 6일경, 데이터 유출 웹 사이트에 Mandiant에서 탈취한 것으로 의심되는 356,841개의 파일이 온라인으로 유출될 것이라는 게시글을 작성했습니다.

 

갱단의 다크 웹 누출 사이트는 카운트다운이 끝날 때까지 시간이 얼마 남지 않았다는 타이머와 같이 “사용 가능한 모든 데이터가 게시됩니다!”라고 위협하고 있습니다.

 

[그림 1] 파일 공개 타이머 (@serghei)

 

Lockbit은 유출 페이지의 파일 목록이 비어 있어 Mandiant의 시스템에서 탈취했다고 주장하는 파일을 아직 밝히지 않았으나 페이지에는 mandiantyellowpress[.]com 도메인과 관련된 것으로 보이는 ‘mandiantyellowpress.com.7z’라는 0바이트 파일이 있었습니다.

 

Mandiant 측은 “LockBit의 주장은 인지하고 있으며 현재로서는 그들의 주장을 뒷받침할 증거는 없습니다. 상황이 발전함에 따라 상황을 계속 모니터링 할 것입니다.”라고 말했습니다. 

 

Mandiant는 지난주에 발표한 보고서에서 Russian Evil Corp 사이버 범죄 그룹이 미국의 제재를 피하기 위해 표적 네트워크에 LockBit 랜섬웨어를 배포하는 것으로 전환했다고 밝혔습니다.

 

LockBit 랜섬웨어 갱단은 2019년 9월부터 Raas로 활동했으며 랜섬웨어 행위자가 사이버 범죄 포럼에 게시하는 것이 금지된 이후 2021년 6월 Lockbit 2.0 Raas로 다시 활동을 시작했습니다.

 

LockBit이 파일을 게시한 후, 해당 파일은 Mandiant의 네트워크에서 도난당한 파일에 대한 것이 아니라 Evil Corp 사이버 범죄 갱단과 거리를 두려는 랜섬웨어 그룹에 대한 것 같습니다.

 

Evil Corp이 미국 정부에 의해 제재됨에 따라 피해자들이 몸값 지불을 중단할 것이기 때문에 수식 손실을 두려워하는 LockBit에 의해 촉발되었을 수 있습니다.

 

랜섬웨어 그룹은 “mandiant.com은 전문적이지 않습니다. 공격을 위한 모든 스크립트와 도구는 공개적으로 사용이 가능하며 대부분의 공격 방법은 포럼, github, google 등에 있기 때문에 유사한 도구를 사용한다는 사실이 공격이 맞다는 증거가 될 수 없다”라고 말했습니다.

 

또한, “우리 그룹은 Evil Corp와 아무 관련이 없으며 우리는 진정한 지하 다크넷 해커이며 정치 또는 FSB, FBI 등과 같은 특수 서비스와 관련이 없다”라고 덧붙였습니다.

 

[그림 2] 공개된 유출 데이터 (bleepingcomputer)

 

Mandiant는 초기 LockBit 릴리스에서 공개된 데이터를 검토했습니다. 공개된 데이터에 따르면 Mandiant 데이터가 공개되었다는 징후는 없지만, 행위자는 Mandiant의 2022년 6월 2일에 업로드된 “Evil Corp이 제재 회피를 위해 LockBit 랜섬웨어로 전환했다”는 글을 반증하려는 것으로 보입니다.

 

출처

https://www.bleepingcomputer.com/news/security/mandiant-no-evidence-we-were-hacked-by-lockbit-ransomware/

보안관제센터 MIR Team