🕵️‍♂️ 사이버 범죄 프랜차이즈의 영업비밀 유출

구독자님 안녕하세요, 혹시 서비스형 랜섬웨어 RaaS(Ransomware as a Service)라고 들어보신 적 있으신가요?

말 그대로, 랜섬웨어 악성코드를 개발한 사람이 자신의 랜섬웨어를 프랜차이즈 사업처럼 운영하며 해커들에게 돈을 받고 빌려주는 비즈니스 모델을 의미합니다.

랜섬웨어를 개발한 운영자는 창업주, 창업주의 랜섬웨어를 구매한 해커는 대리점으로 비유할 수 있어요. 만약 해커가 빌린 랜섬웨어로 공격과 협상을 성공하면, 해커(대리점)가 70%, 랜섬웨어 운영자(창업주)가 30%와 같이 사전에 약속한 비율대로 수익을 분배하는 구조입니다. 💰

이렇게 프랜차이즈화 된 대규모의 랜섬웨어 조직은 더 많은 수익을 얻기 위해 악성코드 개발자, 자금 세탁자, 리크루터, 협상 전문가 등 다양한 분야의 범죄 전문가들로 이루어져 있는데요, 이들은 개인보다 훨씬 큰 금액을 낼 수 있는 기업이나 기관을 대상으로만 공격을 한다는 특징을 가지게 되죠.

여기서 잠깐, 만화 나루토에는 <인간이 5명이나 모이면 반드시 1명은 쓰레기가 있다> 라는 엄청난 명언이 있는데요. 철두철미한 사이버 범죄 조직이라도 5명 이상 모이면 이 법칙을 피해갈 수는 없죠. 올해 2월, 유명한 랜섬웨어 조직인 Blackbasta의 내부자가 조직원들 끼리 주고받은 대화 내용을 폭로하여 영업 비밀이 고스란히 유출되었습니다.

내부자가 폭로한 대화 내용에는 조직원들끼리 주고받은 대화가 포함되어 있어, 사이버 범죄자들이 실제로 어떤 방식으로 해킹을 수행하는지 자세히 들여다볼 수 있었어요. 🔍 때문에, 현재 전 세계 많은 보안 회사와 분석가들이 이 기회를 놓치지 않고 대화 내용을 분석하는 중이죠.

🤫 Blackbasta의 조직원 채팅 유출

Blackbasta는 2022년에 처음 모습을 드러낸 랜섬웨어 조직입니다. 일반적인 서비스형 랜섬웨어와 같이 보안이 잘 갖춰진 대기업을 랜섬웨어 감염을 시키고, 다크웹에 데이터를 유출하겠다고 협박해 왔으며, 이들에게 피해를 입은 회사의 최소 추정치만 무려 449곳에 달할 정도죠...! 😱

이 조직은 올해 1월까지도 여러 회사를 해킹하며 수익을 올리던 중, 조직 내부에서 분열이 발생했는데요. 그 과정에서 ExploitWhispers 라는 유저가 텔레그램 채널을 개설해, 조직원들이 Matrix라는 채팅 앱을 통해 주고 받은 대화 내용(JSON파일)을 유출해버렸습니다. 😮

유출된 JSON 파일은 약 47.5MB 정도이며, 2023년 9월 18일부터 2024년 9월 28일까지 50명의 조직원끼리 주고받은 대화 내역만 20만 건(약 130만 줄)에 달합니다. 이 중에는 “헬스장에 다녀왔다”거나 “일(범죄)을 하느라 잠을 못 잤다”라는 사소한 일상 대화도 있지만, 대부분은 해킹에 관한 내용이었어요. 특정 기업에 침투한 상황을 실시간으로 공유하거나, 침투 후 랜섬웨어를 유포하는 과정을 논의하는 모습도 유출되었죠.

이들이 어떻게 보안 시스템이 견고한 기업 네트워크에 침투해 랜섬웨어를 유포하는지, 해킹짹짹에서 직접 살펴보았는데요.🕵️‍♂️ 최초 침투부터 돈을 내라는 협박까지 찬찬히 뜯어볼까요?

🎯 최초 침투

Blackbasta 랜섬웨어 조직은 최초 침투 시, IAB(Initial Access Broker)에게 접근 권한을 구매하거나, 스피어 피싱 메일·피싱 사이트 등을 통해 탈취한 계정 정보를 활용했어요. 또한 원격 데스크톱 관리자 페이지, SSL VPN, 방화벽 등의 취약점을 악용해 기업 내부망에 진입한 정황도 드러납니다.

* Initial Access Broker: 초기 침투에 필요한 정보를 판매하는 사람

발표된 지 얼마 되지 않아 PoC(Proof of Concept) 코드가 공개되지 않은 취약점의 경우, 다크웹 블랙마켓에서 해당 취약점을 구매하려는 시도💰가 포착되기도 했어요. 팔로알토 방화벽 제품의 취약점 CVE-2024-3400이 발표됐을 때, 조직원들이 다크웹 블랙마켓에서 해커들과 접촉하며 익스플로잇 코드를 구매하려 한 대화에서 확인할 수 있죠.

* CVE-2024-3400 취약점은 hackyboiz 블로그에서 더 자세히 살펴보세요!

🛠️ 침투 이후

내부 네트워크에 진입한 뒤에는 Brute Ratel이나 Cobalt Strike 같은 침투 테스트 도구를 활용하고, CrackMapExec 등 다양한 도구를 사용해 내부 정찰·수평 이동·권한 상승 등을 시도했어요. 이후 AD를 탈취한 뒤에는 psexec, smbexec, wmiexec 등을 이용해 랜섬웨어를 유포하는 등 전형적인 공격 과정을 밟았다고 할 수 있겠네요.

🔑 보안 장비 우회

침투한 환경 대부분에는 Windows Defender, 안티바이러스, EDR 등의 보안 솔루션이 동작 중이어서 악성코드가 바로 실행되지 않는 경우도 존재하는데, 이러한 보안 솔루션들을 우회하기 위해 다크웹에서 해커들에게 판매되는 “GoblinCrypt”라는 유료 바이너리 암호화(크립터) 도구를 구매하여 사용한 기록이 확인되었어요. 

이외에도 avcheck.net, scanner.to 같은 사이트에서 악성코드 샘플을 업로드하고 보안 솔루션에 탐지되는지 벤치마크 테스트를 진행한 내용이 확인되었어요. “노턴, 코모도 백신에서 반복적으로 탐지되자 X같다”🤬 라는 분노에 찬 대화에서도 알 수 있죠.

또한 CrowdStrike, SentinelOne, Sophos Intercept X, Cisco, TrendMicro 등 주요 보안 업체의 EDR 제품을 직접 구매해, 우회 기법을 연구하기 위해 악성코드가 어디에서 탐지되는지를 확인하기도 했어요. 이들의 대화에서 CrowdStrike의 Falcon EDR은 가장 X같다 🤬 라는 욕설이 있었는데, 보안 솔루션 업체에게는 극찬이지 않을까요? 😎

📞 협박을 위한 전화통화

가장 흥미로웠던 부분은 해킹에 성공한 회사의 대표 번호를 구글링으로 찾아 직접 전화를 건 뒤, 협박을 진행한다는 점이었습니다. 대부분의 랜섬웨어 조직들은 자신들이 운영하는 다크웹 사이트에서 채팅을 통해 협상을 진행하지만, 이들의 경우 직접 전화까지 시도하는 대담함을 보였어요.

✍️ 마치며

‘사이버 범죄 프랜차이즈의 영업 비밀’이라고 했지만, 막상 뜯어보면 외부에 공개된 도구와 기법들을 조합해 범죄를 저지르는 모습이 대부분입니다. 어마어마한 기술력이 숨겨져 있을 것 같지만, 정작 내부 대화를 살펴보면 기술보단 돈으로 해결하는 부분도 많이 보였습니다.

해킹 기술을 구사한다는 점에서는 화이트 해커든 블랙 해커든 차이가 없지만, 어떠한 목적을 갖고 해킹 하냐에 따라 명확히 나뉘게 되죠. 한쪽은 보안 취약점을 찾고 방어 시스템을 개선하기 위해 노력하는 윤리적 해커라면, 다른 한쪽은 범죄 수익 창출을 위해 같은 기술을 악용하고 있다는 점이 씁쓸하네요.

언제쯤 사이버 범죄가 사라질 수 있을까요? 짹짹이 분들의 생각은 어떤지 댓글로 알려주세요! 😉

그럼 다음주에 만나요! 🐣

구독자님, 오늘 뉴스레터는 어떠셨나요?
해킹/보안 관련 콘텐츠를 계속 받아보고 싶으시다면 구독 부탁드려요! 🙌