영국의 국가범죄수사국(NCA)이 악명 높은 러시아 정부 지원 사이버 범죄 조직인 Evil Corp와 연결된 LockBit 랜섬웨어 그룹의 오랜 연합체를 밝혀냈습니다. 영국 당국에 따르면, 이 연합체는 러시아 국적의 Aleksandr Ryzhenkov으로, 그가 Evil Corp의 ‘2인자’로 활동하고 있다고 합니다.🌐
Operation Cronos
이번 발표는 영국과 국제 수사 기관들이 LockBit과 Evil Corp의 작전을 방해하기 위한 Operation Cronos의 일환으로 이루어졌습니다. NCA는 화요일에 Ryzhenkov이 Evil Corp 설립자 Maksim Yakubets와 가까운 친구이며, Yakubets는 2019년 미국 정부에 의해 Dridex 악성코드 개발 및 배포 혐의로 기소된 바 있다고 밝혔습니다.🕵️♂️
추가 제재 및 체포
이와 함께 영국, 미국, 호주 당국은 Ryzhenkov에 대한 제재를 발표했습니다. 이는 해당 국가와 연관된 누구도 그와 거래하는 것이 불법이 되게 합니다. 또한, 미국 검찰은 미국 기반 피해자들을 대상으로 랜섬웨어 공격을 한 혐의로 Ryzhenkov을 기소했습니다.👮♀️
Evil Corp와의 연결 고리
NCA는 또한 두 러시아 사이버 범죄 조직 간의 추가적인 연결 고리를 발견했다고 밝혔습니다. 특히, 이전에 압수한 LockBit 랜섬웨어 그룹의 다크 웹 유출 사이트를 잠시 부활시켜 이를 증명했습니다. Ryzhenkov은 Evil Corp의 설립자 Maksim Yakubets의 ‘오른팔’로, 2022년에 LockBit 연합체가 되었으며 최소 60명의 피해자를 대상으로 공격을 했다고 합니다.🔍
국제 공조
영국 당국은 LockBit 연합체와 연관된 혐의로 영국에서 두 명을 체포했으며, 프랑스에서 LockBit 개발자 한 명이 체포되었습니다. 또한, 스페인 경찰은 LockBit 인프라의 주요 조력자 한 명을 구금하고 그룹이 사용한 서버 9대를 압수했습니다.🚔
지속적인 작전
Operation Cronos는 지난 2월 국제 수사 기관 연합이 LockBit의 공식 사이트를 침투했다고 발표하면서 대중에게 알려졌습니다. 이후 LockBit의 인프라를 압수하고 다크 웹 유출 사이트를 포함한 공용 웹사이트의 취약점을 악용해 조치를 취했습니다. 이후 LockBit은 새로운 유출 사이트와 피해자로 다크 웹에 복귀했습니다.🔒
결론
이러한 조치로 LockBit의 활동이 크게 줄어들었으며, 연합체 수는 약 200명에서 70명으로 감소했다고 NCA는 밝혔습니다. LockBit의 소스 코드와 운영 방식에 대한 새로운 세부 사항도 밝혀졌습니다. 예를 들어, 랜섬 요구를 지불해도 피해자의 데이터를 삭제하지 않는 방식으로 코드를 작성했다는 점이 밝혀졌습니다. 이는 LockBit 연합체에게도 알려지지 않은 사실이었다고 합니다.📉
출처: TechCrunch
