다크웹의 어두운 구석에서 미국, 영국, 캐나다의 젊은 해커들이 러시아 랜섬웨어 해커들과 만나 팀을 이루며 범죄의 강력한 파트너가 되었습니다.

작년에 랜섬웨어 해커는 병원, 제약, 기술 회사는 물론 라스베거스의 가장 큰 호텔과 카지노까지 표적으로 삼았습니다.FBI의 최고 사이버 관리인 브라이언 본드란(Bryan Vorndran)은 랜섬웨어를 "엄청난 문제"라고 부르며 어떤 부문, 회사, 유형의 조직도 해커의 접근을 허용하지 않는다고 말했습니다.몸값 지불로 인한 전 세계 손실이 연간 10억 달러를 초과하는 것으로 추산됩니다.

본드란 총리는 "어쨌든 숫자를 보면 이는 세계 경제와 미국 경제, 그리고 미국의 안보에 문제가 된다"고 말했다.

스캐터드 스파이더 해커

주로 영어를 모국어로 사용하는 느슨한 조직의 해커 그룹입니다.흩어진 거미최근 랜섬웨어 공격의 배후에는 FBI가 있다고 Vorndran은 말했습니다.이 그룹은 Star Fraud, UNC3944 및 Octo Tempest라고도 알려져 있습니다.Scattered Spider 해커는 사회 공학 분야의 전문가로 간주됩니다.

사이버 보안 회사인 Unit 221B의 최고 연구 책임자인 Allison Nixon은 "그들의 성공의 일부는 그들이 서구 문화에 능통하기 때문입니다. 그들은 우리 사회가 어떻게 돌아가는지 알고 있습니다."라고 말했습니다."그들은 누군가에게 뭔가를 하도록 하기 위해 무슨 말을 해야 할지 알고 있습니다."앨리슨 닉슨

그녀는 이를 새롭지만 놀라울 정도로 파괴적인 온라인 하위문화라고 설명합니다.Com 회원들은 특히 Microsoft, Nvidia, Electronic Arts와 같은 회사를 해킹했습니다. 

닉슨은 관련자 수가 2018년부터 수백 명에서 수천 명으로 폭발적으로 늘어났다고 말했습니다.

"그들은 인터넷을 통해 연결됩니다. 사람들이 어울리는 소셜 공간. 게임 서버"라고 Nixon은 말했습니다."아마도 나쁜 아이들이 노는 뒷골목이 인터넷상에 있는 것과 거의 비슷합니다."

연루된 사람들은 대부분 25세 미만의 남성이지만 닉슨은 13세 정도의 십대 청소년들도 주요 범죄를 저지르는 데 연루되었다고 말했습니다. 

• 다크웹 랜섬웨어 조직 침투

회원들은 텔레그램과 같은 메시징 앱을 통해 소통합니다. 그들의 대화는 인종차별과 성차별이 뒤섞인 독성 물질입니다.그들은 종종 자신들이 사기한 돈과 그들이 얼마나 위협적인지 자랑합니다.

닉슨은 "젊은이들이 범죄자, 갱단원들과 어울리고 어울릴 수 있는 유해한 온라인 공간이 있다"고 말했다."그리고 이 모든 것의 최종 결과는 범죄를 미화하고 범죄가 세상에 얼마나 많은 해를 끼칠 수 있는지에 따라 개인의 가치를 측정하는 온라인 하위문화가 형성된 것입니다."

해커들이 팀을 이루다

Scattered Spider는 Com의 가장 정교한 파생물 중 하나입니다.이들의 범죄 행위는 사이버 보안 회사의 주목을 끌었으며 가장 악명 높은 러시아 랜섬웨어 갱단 중 하나인 BlackCat(ALPHV라고도 함)을 포함하여 다른 범죄 해커들의 존경을 받았습니다.랜섬웨어 공격에 대한 "강제 승수"입니다. 

닉슨은 "역사적으로 볼 때 러시아 사이버 범죄자들은 ​​서방 사이버 범죄자들과 협력하는 것을 좋아하지 않았습니다."라고 말했습니다."언어의 장벽이 있을 뿐만 아니라, 그들을 멸시하고 비전문적이라고 여겼습니다."

Scattered Spider는 영어 및 사회 공학 기술을 사용하여 회사 및 기타 단체에 침입합니다.BlackCat은 최근 역사상 가장 심각한 랜섬웨어 공격에 사용된 경험, 플랫폼 및 악성 코드를 제공합니다. 

사이버 보안 연구원들은 BlackCat이 2021년 공격을 담당한 러시아 사이버 범죄 해킹 그룹 DarkSide/BlackMatter의 전 구성원으로 구성되어 있다고 믿고 있습니다.콜로니얼 파이프라인이로 인해 동부 해안의 가스 부족이 발생했습니다.그리고 FBI 권고에 따르면 "BlackCat/ALPHV의 많은 개발자와 돈세탁자는 DarkSide/BlackMatter와 연결되어 있으며 이는 그들이 랜섬웨어 작업에 대한 광범위한 네트워크와 경험을 가지고 있음을 나타냅니다."

사이버 보안 회사 Analyst1의 최고 보안 전략가인 Jon DiMaggio는 "이를 브랜드 변경이라고 합니다."라고 말했습니다.DiMaggio는 랜섬웨어와 다양한 사이버 범죄 그룹 간의 관계를 조사합니다. 

"서비스 모델로서의 랜섬웨어를 사용하면 작업을 쉽게 하기 위해 이러한 모든 리소스와 공격 서비스를 제공하는 서비스 제공업체인 핵심 집단이 있습니다. 그리고 그들을 위해 일하는 계약자인 해커도 있습니다."디마지오.

BlackCat과 같이 오랜 역사를 지닌 러시아 갱단은 Scattered Spider와 같은 제휴 해킹 그룹에 최신 악성 코드, 몸값 협상 및 돈세탁 경험 등의 서비스를 제공합니다.피해자가 몸값을 지불하면 자금이 분할됩니다.에이 

랜섬웨어 공격으로 기업이 무릎을 꿇게 됩니다.

Scattered Spider와 BlackCat은 모두 2023년 9월에 대한 소유권을 주장했습니다.MGM 리조트에 대한 랜섬웨어 공격, 이는 호텔 및 카지노 거대 기업에 1억 달러 이상의 비용이 들었습니다.이는 MGM 그랜드, 아리아, 만달레이 베이, 뉴욕-뉴욕 및 벨라지오를 포함하여 라스베거스 스트립의 가장 유명한 호텔과 카지노 수십 곳의 운영을 중단시켰습니다. 

"Las Vegas Advisor"를 출판한 Anthony Curtis는 랜섬웨어 공격 당시 MGM 자산에 있었습니다.그는 수천 대의 슬롯머신이 갑자기 제대로 작동하지 않자 사람들이 어리둥절해 했다고 말했습니다.

"그래서 갑자기 사람들은 '돈을 어떻게 받나요? 뭐가 문제인가요?'라고 합니다.그리고 사람들은 거기 앉아서 기다리고 있었고 돈을 받을 수 없었습니다.”라고 Curtis는 말했습니다. 

사이버 공격으로 인해 엘리베이터가 제대로 작동하지 않고, 주차 게이트가 얼어붙고, 디지털 도어 키가 작동하지 않는 등의 문제가 발생했습니다.컴퓨터가 다운되면서 예약이 마감되고 프런트 데스크에 줄이 늘어섰습니다.

Curtis는 “기술이 필요한 모든 것이 작동하지 않았습니다.”라고 말했습니다. 

MGM 리조트는 인터뷰 요청을 거절했지만, 해킹이 발생한 지 한 달 뒤 열린 회의에서 빌 혼버클 CEO 겸 사장은 이러한 혼란이 엄청난 수준이었다고 인정했습니다. 

Hornbuckle은 컨퍼런스에서 "36,000개의 호텔 객실과 일부 지역 자산을 관리하면서 향후 4~5일 동안 우리는 완전히 어둠 속에 있었습니다"라고 말했습니다.

해커들은 MGM의 데이터를 잠금 해제하기 위해 3천만 달러를 요구했습니다.회사는 이를 거부했지만 여전히 약 1억 달러의 수익 손실과 서버 재구축을 위한 수백만 달러의 대가를 치렀습니다.

해커들은 사회공학을 이용해 MGM의 네트워크에 침입했습니다.그들은 직원에게 초점을 맞춰 다크 웹과 LinkedIn과 같은 오픈 소스에서 정보를 수집했습니다.다음으로, 말 잘하는 해커가 직원을 사칭하여 MGM 기술 헬프 데스크에 전화했습니다.해커는 기술 지원팀을 설득하여 자신의 비밀번호를 재설정했습니다.이를 통해 해커는 MGM의 컴퓨터 내부에 침투하여 파괴적인 악성 코드를 퍼뜨렸습니다. 

커티스는 이것이 사이버 범죄자들의 '오션스 일레븐' 강도 사건 버전이라고 말했다. 

Curtis는 "이 해커들은 상황을 역전시킬 수 있었습니다."라고 말했습니다."카지노에는 시스템이 있습니다. 보호 장치가 있습니다. 전문가가 있습니다. 보안도 있습니다. 이 사람들이 더 낫습니다."

나중에 MGM의 가장 큰 경쟁자인시저스, 또한 같은 시기에 소셜 엔지니어링 공격을 받았다고 인정했습니다.같은 그룹 소속인 것으로 추정된다.Caesars는 몸값으로 1,500만 달러를 지불했으며 어떠한 중단도 겪지 않은 것으로 알려졌습니다. 

Vorndran은 "FBI의 관점에서 몸값을 지불하지 말 것을 권고하는 것이 우리의 입장입니다."라고 말했습니다."그러나 우리는 이것이 위기 상황에서의 비즈니스 결정이라는 것을 알고 있습니다."

그는 라스베이거스 사건에서 체포된 사람이 있는지 밝히기를 거부했습니다.

미래에 대한 걱정

랜섬웨어 해킹은 매년 더 많은 비용과 파괴력을 가져오고 있으며 사이버 보안 연구원들은 상황이 더욱 악화될 것을 우려하고 있습니다. 

DiMaggio는 러시아 정부가 러시아 랜섬웨어 갱단에게 안전한 피난처를 제공하고 있다고 말했습니다.그는 해커들이 러시아의 조직을 표적으로 삼지 않는 한 기소되지 않는다고 덧붙였습니다.

"정말 말도 안 되는 일이죠. 그렇죠? 그래도 그게 작동하는 방식이죠"라고 DiMaggio는 말했습니다. 

가장 성공적인 러시아 갱단은 탐색하기 쉬운 온라인 플랫폼을 갖춘 합법적인 회사처럼 운영됩니다.디마지오는 리더십이 30~40대라고 말했다.그들은 종종 재정적 배경을 가지고 있습니다. 

DiMaggio는 "맬웨어 및 랜섬웨어 개발을 전문으로 하는 사람들이 있으며 수요가 매우 높습니다."라고 말했습니다.

러시아 랜섬웨어국가안보국(NSA)의 엘리트 사이버 전사들이 전투에 합류할 정도로 위협이 되었습니다.지난 달 은퇴하기 전 NSA의 사이버 보안 책임자였던 Rob Joyce는 콜로니얼 파이프라인 공격이 경각심을 불러일으켰다고 말했습니다.에이 

Joyce는 "이로 인해 우리는 한 발 물러서서 이 외국의 위협에 더 많은 자원을 투입해야 한다고 결정하게 되었습니다."라고 말했습니다."NSA가 가져올 수 있는 가치는 이러한 활동에 관련된 사람, 특정 사람을 식별할 수 있다는 것입니다."

NSA는 콜로니얼 파이프라인 공격에 책임이 있는 러시아 해커를 식별하는 데 도움을 주었습니다.그리고 몇 달 간의 협상 끝에 2022년 1월, 러시아는 그와 다른 공범들을 체포했습니다.그러나 모든 일은 5주 후에 취소되었습니다. 

“우크라이나 침공 이후 그 사람들은 감옥에서 풀려났습니다.” 조이스가 말했습니다. 

그리고 이제 러시아 해커들은 Scattered Spider의 영어를 모국어로 사용하는 젊은 해커들과 팀을 이루었습니다.FBI의 Vorndran은 이를 사이버 범죄의 진화라고 부릅니다.

그는 "우리가 매우 유능한 적군에 맞서고 있으며 그들이 일을 매우 잘한다는 것을 아는 것이 중요하다고 생각한다"고 말했다."저희 일도 아주 잘해요."

지난 1월 FBI는 암호화폐 80만 달러를 훔친 혐의로 플로리다 출신의 19세 노아 어반(Noah Urban)을 체포했습니다.Urban은 무죄를 주장했습니다.사이버 수사관들은 그를 Scattered Spider와 연관시켰지만 지금까지는 카지노 강도 사건과 연관시키지 않았습니다.MGM을 공격한 Scattered Spider 해커들은 러시아 해커들과 부정한 동맹을 맺고 여전히 온라인에 숨어 있습니다.닉슨은 라스베이거스에서 일어난 일을 전조라고 부릅니다.에이 

“사이버 범죄의 수준이 압도적으로 느껴질 정도로 높아졌습니다.”라고 그녀는 말했습니다."그리고 매년 상황은 더욱 악화되고 있습니다. 수비수로서 우리가 모든 전투에서 승리하고 전쟁에서 패하는 것과 거의 같은 느낌입니다."