미국 IT기업 ‘카세야(Kaseya)’에 랜섬웨어 공격을 감행한 러시아 해킹 그룹 레빌(REVil)이 데이터 복구 조건으로 7000만 달러(한화 약 796억원)의 비트코인을 제시한 것으로 전해졌다.

관련해 파이어아이 맨디언트 수석부사장(SVP)이자 최고기술책임자(CTO)인 찰스 카마칼(Charles Carmakal)가 성명을 발표했다.

그는 “2021년 7월 2일, 소디노키비(Sodinokibi), 또는 레빌(REVil)로 알려진 공격 그룹의 제휴 조직이 ‘카세야(Kaseya) VSA’의 여러 가지 취약성을 이용하여 연결된 엔드포인트에 데이터를 암호화하는 랜섬웨어를 배포했다. 카세야VSA는 매니지드 서비스 제공업체(Managed Service Provider; MSP) 및 다양한 조직이 컴퓨터 시스템을 원격으로 관리하는 데 사용하는 원격 모니터링 및 관리 솔루션이다. 아직까지 피해를 입은 조직의 정확한 수는 알려지지 않았지만 카세야는 레빌 랜섬웨어 공격의 영향을 받은 조직의 수를 1,500개 미만으로 추정하고 있다. 공격을 받는 많은 조직들이 매우 작은 규모의 가족 사업체로, 미국 독립기념일 연휴 주말로 인해 뒤늦게 피해 사실을 확인하고 있다”고 밝혔다.

레빌의 서비스형 랜섬웨어(Ransomware-as-a-Service; 이하 RaaS)는 2019년 5월부터 러시아어를 사용하는 불법 포럼에서 광고되고 있다. RaaS 비즈니스 모델에서 제공자는 랜섬웨어를 제작, 피해자와 소통하며 백엔드 인프라를 운영하고, 파트너 및 제휴 그룹은 시스템에 침투하여 랜섬웨어를 배포한다.

RaaS는 공격자 "UNKN(Unknown)"에 의해 제작되고 있으며, 이들은 영어권 파트너를 받지 않고 파트너가 우크라이나를 포함한 독립국가연합을 공격하는 것을 금지하고 있다. 알려진 제휴자들은 러시아어를 사용하지만, 일부는 러시아에 거주하지 않을 가능성도 있다. 특히 UNKN은 콜로니얼 파이프라인 사태 이후 랜섬웨어 배포 전 타겟 조사를 주장하며 레빌 제휴 그룹 제한에 나섰다.

미국 현지시간 7월 4일 저녁, 레빌은 이번 공격이 자신들의 소행이라고 밝히며 백만 개 이상의 시스템에 영향을 미쳤다고 주장했다.

이들은 공격을 받은 모든 시스템의 암호화를 해제하는 데 사용될 수 있는 범용 복호화 키의 대가로 7천만 달러를 요구하고 있다.

이 터무니없는 요구는 공식적으로 가장 큰 규모의 몸값이다. 비공식적으로는 레빌이 먼저 적극적으로 요구를 줄이고 있으며 침투의 범위와 영향을 과장한 것으로 알려져 있다.

나아가, 현재 레빌은 탈취한 데이터를 유출하지 않고 있는데 이는 피해자들에게 몸값을 지불할 수밖에 없도록 압력을 가하기 위해 그들이 자주 쓰는 수법이다.

그는 “공격자들이 수천만 달러의 몸값을 요구할 수 있고 감옥에 갈 가능성이 낮은 한, 이 문제는 계속해서 악화될 것으로 예측된다. 이 공격자들은 자금이 풍부하고 동기가 명확하기에 전세를 역전시키기 위해서는 극적인 공동의 노력이 필요하다”고 강조했다.

★정보보안 대표 미디어 데일리시큐!★