가장 악명 높은 랜섬웨어 공격 집단 12곳

가장 유명한 록빗(LockBit)과 같은 공격 집단에 대한 법 집행 기관의 단속으로 인해 랜섬웨어 시장은 더욱 분열됐고 새로운 범죄 집단들이 등극으로 재편되고 있다. 

가장 악명 높은 렌섬웨어 공격 집단 12월 보면, 

 

아키라

• 아키라(Akira)는 2023년 초 등장한 RaaS 그룹으로, 현재도 활발히 활동하고 있다.
• 공격 방식 : 아키라를 배포하는 공격 집단은 기업 VPN 어플라이언스의 인증 미비, 개방된 RDP 클라이언트, 탈취된 자격 증명 등을 악용해 기업 시스템을 공격한다.
• 주요 표적 : 아키라의 주요 공격 대상은 북미, 유럽, 호주에 위치한 중소기업이다. 팔로알토 네트웍스의 유닛 42(Unit 42) 인텔리전스팀에 따르면, 피해를 입은 산업 분야는 제조업, 전문 및 법률 서비스, 교육, 통신, 기술, 제약 등이 포함된다.
• 기타 특징 : 일부 정황 증거에 따르면 러시아와 연관이 있으며, 지금은 소멸된 콘티(Conti) 랜섬웨어와 관련이 있는 것으로 보인다. 그러나 정확한 배후는 아직 명확히 밝혀지지 않았다. 버그 바운티 플랫폼 해커원(HackerOne)의 EMEA 솔루션 아키텍트인 쇼빗 고탐은 “이 위협 행위자는 DLS(data leak site) 및 메시징에 적용된 ‘레트로 감성’으로 인해 주목을 받았다”라고 말했다.
• 사례 : 2024년 4월 기준,아키라(Akira) 랜섬웨어가 1년간 전 세계 250개 이상 조직에 피해를 입히고 4200만달러(약 580억원)의 수익을 얻은 것으로 분석 되었습니다.

 

블랙 바스타

• 블랙 바스타(Black Basta)는 2022년 초 랜섬웨어 시장에 등장했으며, 주요 조직을 공격했던 악명 높은 콘티 그룹에서 분리된 조직으로 추정된다.
• 공격 방식 : 이미 알려진 취약점을 악용하거나 소셜 엔지니어링 기법을 활용해 악성 코드를 배포하는 방식으로 공격을 수행한다. 래피드7(Rapid7)의 위협 분석 선임 디렉터 크리스티안 비크는 “타깃 조직의 직원은 대량의 이메일 폭탄 공격을 받으며, 이후 공격 집단이 조직의 IT 헬프데스크를 사칭해 직접 연락을 시도한다”라고 설명했다.
• 주요 표적 : 클라우드 보안 업체 퀄리스(Qualys)의 분석에 따르면, 블랙 바스타의 공격으로 전 세계 500곳 이상의 조직이 피해를 입었다.
• 기타 특징 : 보안 연구자들은 블랙 바스타가 ‘FIN7’이라는 사이버 범죄 집단과 연관되어 있을 가능성이 높다고 추정한다. 멀웨어 샘플에서 EDR 시스템을 우회하는 맞춤형 모듈이 FIN7과 유사한 방식으로 구현됐기 때문이다.

 

블랙캣/ALPHV

• 배경 : 블랙캣(Blackcat)은 ALPHV 또는 노베루스(Noberus)라는 이름으로도 알려져 있으며, 2021년 11월 등장한 공격 집단이다. 과거 콜로니얼 파이프라인을 공격한 악명 높은 다크사이드(Darkside) 그룹의 전 구성원들로 이뤄졌다고 알려졌다.
• 공격 방식 : 블랙캣이 사용하는 멀웨어는 윈도우와 리눅스 시스템을 모두 타깃으로 한다. 이 그룹은 파일 복호화 대가로 몸값을 요구하고, 탈취한 데이터를 공개하지 않겠다고 약속하며, DDoS 공격을 막는 대가로 또 다른 금전을 요구하는 삼중 갈취 전략으로 악명 높다.
• 주요 표적 : 블랙캣(ALPHV) 랜섬웨어 공격 집단은 대형 조직을 대상으로 한 하이 프로파일 공격을 다수 수행했다. 대표적인 사례로는 2023년 9월 시저스 엔터테인먼트(Caesars Entertainment) 공격, 2024년 2월 유나이티드헬스 그룹(UnitedHealth Group)의 자회사 체인지 헬스케어(Change Healthcare) 공격 사건이 있다.
• 기타 특징 : 블랙캣은 현재 법 집행 기관의 압박과 체인지 헬스케어 공격의 영향에 대한 대응으로 잠잠해졌다. 경험이 풍부한 사이버 범죄자일 가능성이 높은 주요 구성원들은 미국 당국의 수사 및 기소 대상이 됐다.
• 사례 : 
  
  • 2023년 9월, 시저스 엔터테인먼트를 공격하여 큰 피해를 입혔습니다.
  • 2024년 2월, 유나이티드헬스 그룹의 자회사인 체인지 헬스케어를 공격하여 의료 시스템에 심각한 장애를 일으켰습니다.

 

블랙록

• 블랙록(BlackLock) 또는 엘도라도(El Dorado)라는 이름으로도 알려진 이 랜섬웨어 공격 집단은 2024년 3월 등장한 이후 급격한 성장세를 보이고 있다. 보안 인텔리전스 업체 릴리아퀘스트(RelIaQuest)는 블랙록이 2025년 가장 활발하게 활동하는 집단으로 떠오를 가능성이 있으며, 랜섬허브(RansomHub)를 넘어설 수도 있다고 전망했다.
• 공격 방식 : 블랙록은 자체 개발한 맞춤형 멀웨어를 사용하는 점에서 차별화되며, 이는 플레이(Play) 및 퀼린(Qilin)과 같은 최상위 랜섬웨어 공격 집단의 특징이라고 릴리아퀘스트는 분석했다. 블랙록의 멀웨어는 윈도우, VM웨어 ESXi 가상화 서버, 리눅스 환경을 공격 표적으로 삼는다. 이 그룹은 데이터 암호화뿐 아니라 민감한 정보를 탈취한 후, 피해자가 몸값을 지불하지 않으면 해당 정보를 공개하겠다고 협박하는 이중 갈취 전략을 사용한다.
• 주요 표적 : 미국 내 부동산, 제조업, 의료 기관 등 다양한 산업을 대상으로 공격을 수행하고 있다.
• 기타 특징 : 블랙록은 러시아 기반 랜섬웨어 포럼인 RAMP에서 활발히 활동하며 다양한 역할의 인력을 적극적으로 모집하고 있다. 특히 부분적으로 침해된 네트워크 접근 권한을 판매하는 초기 액세스 브로커(Initial Access Broker) 영입에 집중하고 있다. 그러나 블랙록의 정확한 구성원이나 배후에 대한 확실한 정보는 아직 확인되지 않았다.

 

클롭

• 클롭(Cl0p)은 2019년부터 활동해 온 복잡한 역사를 가진 랜섬웨어 공격 집단이다. 지난 6년간 클롭은 러시아어를 사용하는 사이버 범죄 조직, 특히 TA505 및 FIN11과 밀접한 관련이 있는 것으로 알려져 있다.
• 공격 방식 : 클롭은 제로데이 취약점을 악용해 공격을 수행한다. 전통적인 랜섬웨어 페이로드를 사용하지 않고 데이터 유출 사이트를 활용해 피해자에게 금전을 갈취한다. 래피드7의 비크는 “최소한의 다운타임으로 데이터를 유출하기 위해 주요 플랫폼의 취약점을 적극적으로 악용하는 것으로 확인됐다. 예를 들면 클레오(Cleo) 파일 전송 소프트웨어의 취약점을 악용한 사례가 있다”라고 설명했다.
• 주요 표적 : 클롭은 전 세계 주요 조직을 대상으로 공격을 수행해 왔다. 특히, 2023년 무브잇(MOVEit) 취약점을 악용한 대규모 공격을 감행해 수천 곳의 조직에 피해를 입힌 사건이 가장 악명 높다.
• 기타 특징 : 클롭 랜섬웨어는 주로 러시아어를 사용하는 여러 사이버 범죄 조직과 관련이 있는 것으로 알려졌다.
• 사례 : 2023년 무브잇(MOVEit) 소프트웨어의 취약점을 악용하여 전 세계적으로 광범위한 공격을 감행했습니다.

 

펑크섹

• 펑크섹(Funksec)은 2024년 말 등장한 새로운 RaaS 집단으로, 출시 첫 달인 12월에만 85만 명 이상의 피해자를 냈다고 주장했다.
• 공격 방식 : 래피드7의 비크에 따르면, 펑크섹은 멀웨어 개발에 AI를 활용하며, 상대적으로 낮은 몸값을 요구하는 것이 특징이다. 다만 비크는 “데이터 유출과 관련한 신뢰성이 의심스럽다”라고 언급했다.
• 주요 표적 : 펑크섹은 다수의 피해자를 공격했다고 주장하고 있지만, 보안 연구자들은 일부 유출된 데이터가 이전 침해 사건에서 가져온 재사용된 정보일 가능성이 있다고 경고하고 있다.
• 기타 특징 : RaaS 모델로 운영되며, 러시아어를 사용하는 제휴사가 있을 가능성이 높다.

 

록빗

• 록빗(LockBit)은 RaaS 모델을 운영하는 사이버 범죄 집단으로, 이 방식을 개척하는 데 중요한 역할을 했다. 2024년 법 집행 기관의 단속으로 한때 활동이 중단됐지만, 최근 다시 활동 재개 조짐을 보이고 있다. 록빗은 효율적인 암호화와 이중 갈취 전략을 활용하는 것으로 악명 높다.
• 공격 방식 : 2024년 법 집행 기관의 대대적인 단속에도 불구하고 여전히 강력한 RaaS 모델과 이중 갈취를 지속적으로 활용하고 있다. 서치라이트 사이버(Searchlight Cyber)의 위협 인텔리전스 책임자 루크 도노반은 “록빗은 여전히 피해자 목록을 공개하고 새로운 계열사를 모집하며, 다크웹 포럼에서 명성을 회복하려 노력하고 있다”라고 말했다.
• 주요 표적 : 록빗은 전성기 동안 정부 기관, 민간 기업, 주요 기반 시설 제공업체 등 전 세계 수천 곳의 조직을 공격 대상으로 삼았다.
• 기타 특징 : 록빗이 러시아어 포럼을 사용하고 특정 대상을 공격하는 패턴을 보인다는 점에서 일부 전문가는 해당 그룹이 러시아 기반일 것으로 추정하고 있다. 2024년 미국 당국은 록빗 개발자이자 운영자로 러시아 국적의 드미트리 유리예비치 호로셰프를 지목했으며, 현재 미국에서 기소된 상태로 자산 동결 및 여행 금지 조치를 받고 있다. 또한 두 명의 러시아 국적자가 특정 조직을 대상으로 록빗을 배포한 혐의로 기소됐다.
• 사례 : 전 세계적으로 수많은 정부 기관, 민간 기업, 기반 시설 제공업체 등을 공격 대상으로 삼았습니다. 특히 2024년 일본 최대 항만인 나고야항을 랜섬웨어 공격으로 마비 시킨 사건이 있었습니다.

 

링크스

• 링크스(Lynx)는 과거 등장했던 INC 랜섬웨어와 소스코드의 48%를 공유한다. 동일한 위협 행위자가 브랜드를 변경했거나 진화했을 가능성이 있다.
• 공격 방식 : 링크스는 RaaS 모델로 운영되며, 이중 갈취 전략을 사용한다. 시스템에 침투한 후 민감한 정보를 탈취하고 피해자의 데이터를 암호화해 접근을 차단한다. 복구를 더욱 어렵게 만들기 위해 암호화된 파일에 ‘.lynx’ 확장자를 추가하고 섀도우 복사본과 같은 백업 파일을 삭제한다.
• 주요 표적 : 링크스 랜섬웨어는 등장 이후 미국과 영국의 여러 산업을 적극적으로 공격했다. 주요 대상에는 소매업, 부동산, 건축, 금융 서비스, 환경 서비스 등이 포함된다. 팔로알토의 유닛 42에 따르면, 링크스 운영 집단은 2024년 7월부터 11월 사이 미국 내 여러 시설을 공격했으며, 에너지, 석유, 가스 관련 조직이 피해를 입었다. 래피드7의 비크는 “링크스가 2024년 7월 발표한 성명에 따르면, 이들은 공격 대상을 선택할 때 ‘윤리적’이라고 주장한다”라고 덧붙였다.
• 주요 특징 : 링크스가 RaaS 모델로 운영된다는 것은 하나의 집단이 아닌 다수의 사이버 범죄자가 활용할 가능성이 크다는 것을 의미한다.

 

메두사

• 메두사(Medusa)는 2022년 등장한 RaaS 배포 집단이다.
• 공격 방식 : 주로 공개된 시스템의 취약점을 악용하거나, 피싱 이메일을 이용하거나, 초기 액세스 브로커를 활용해 시스템에 침투한다.
• 주요 표적 : 메두사를 운영하는 사이버 범죄자들은 미국, 유럽, 인도의 의료, 교육, 제조, 소매 업종 조직을 주요 공격 대상으로 삼는다.
• 기타 특징 : 러시아어 사이버 범죄 포럼에서 메두사와 관련한 활동이 있음을 고려할 때, 핵심 집단과 상당수 계열사가 러시아 또는 인근 국가 출신일 가능성이 높다. 그러나 이는 공식적으로 확인되지 않았다.
• 사례 : 2023년 12월 일본의 자동차 금융 서비스 제공업체 토요타 파이낸셜 서비시스(Toyota Financial Services)를 공격하여 데이터를 유출했습니다.

 

플레이

• 플레이(Play)는 2022년 6월 등장한 랜섬웨어로, 다른 주요 위협 그룹이 와해된 이후 활동을 더욱 강화했다.
• 공격 방식 : 일반적으로 민감한 데이터를 유출한 후 시스템을 암호화하는 방식을 사용한다. 유출 사이트를 제외하면 다크웹 내에서 비교적 낮은 프로파일을 유지하며, 다크웹에서 광고하지 않는다. 서치라이트 사이버의 도너반은 “플레이는 자신들이 RaaS 집단이 아니라고 주장하며 ‘거래의 비밀을 보장하기 위해 폐쇄적으로 운영한다’라고 밝혔지만, 이를 반박하는 증거도 존재한다”라고 설명했다.
• 주요 표적 : 의료, 통신, 금융, 정부 서비스 등 다양한 분야를 공격 대상으로 삼는다.
• 기타 특징 : 북한 정부와 연계된 APT(Advanced Persistent Threat) 집단과 연관이 있을 가능성이 제기되고 있다. 2024년 10월, 유닛 42는 북한이 지원하는 위협 행위자, 특히 APT45가 플레이 랜섬웨어를 배포한 증거를 발표했다. 서치라이트 사이버의 도노반은 “이 위협 행위자와 플레이 간의 직접적인 연관성을 불분명하지만, 국가 차원의 사이버 활동과 독립적으로 보이는 사이버 범죄 네트워크 간의 연계 가능성을 보여준다”라고 설명했다.
• 사례 : 2024년 3월 스위스 정부를 공격하여 데이터를 유출시켰습니다.

 

퀼린

• 아젠다(Agenda)라는 이름으로도 알려진 퀼린(Qilin)은 러시아 기반의 RaaS 그룹으로, 2022년 5월부터 활동을 이어오고 있다.
• 공격 방식 : 퀼린은 윈도우 및 리눅스 시스템, 특히 VM웨어 ESXi 서버를 대상으로 공격을 수행하며, 고(Go)와 러스트로 작성된 랜섬웨어 변종을 활용한다. 피해자의 파일을 암호화한 후 몸값을 지불하지 않으면 탈취한 데이터를 공개하겠다고 위협하는 이중 갈취 전략을 사용한다.
• 주요 표적 : 퀼린은 지하 포럼에서 제휴사를 모집하며, 현재 러시아와 국경을 맞대고 있는 CIS(Commonwealth of Independent States) 국가 내 조직을 공격하는 것을 금지하고 있다.
• 기타 특징 : 퀼린 구성원에 대한 정확한 정보는 알려지지 않았지만, 러시아어를 사용하는 조직적인 사이버 범죄 집단일 가능성이 높다.
• 사례 : 미국, 아르헨티나, 호주, 태국등 전세계에서 피해자들을 발생시키고 있으며, 특히, 금융 및 법률 산업을 주요 타겟으로 삼고 있습니다.

 

랜섬허브

• 배경 : 랜섬허브(RansomHub)는 2024년 2월 등장해 빠르게 주요 사이버 위협으로 떠올랐다. 초기에는 사이클롭스(Cyclops)라는 이름으로 알려졌으며, 이후 나이트(Knight)로 변경한 뒤 다시 브랜드를 바꿔 활동을 확장했다. 특히 록빗, 블랙캣/ALPHV 등 해체된 랜섬웨어 공격 집단의 제휴사를 적극적으로 모집하며 세력을 키웠다.
• 공격 방식 : 랜섬허브 제휴사들은 네트워크에 침투한 후 데이터를 유출하고 암호화 도구를 배포하며, 종종 합법적인 관리용 유틸리티를 악용해 공격을 수행하는 경우가 많다. 랜섬허브는 ‘제휴사 친화적’인 RaaS 모델을 운영하며, 랜섬웨어를 활용해 첫 공격을 수행할 때 10%의 고정 수수료를 받는다. 또한 제휴사가 피해자로부터 직접 몸값을 수령한 후 핵심 운영 집단에 지급하는 방식도 선택할 수 있다. 서치라이트 사이버의 도노반은 “이런 요소는 과거 일부 RaaS 집단이 지급 문제로 신뢰를 잃은 상황에서 확실한 수익을 원하는 제휴사에 매력적인 선택지가 되고 있다”라고 설명했다.
• 주요 표적 : 래피드7에 따르면, 랜섬허브는 유럽과 북미의 의료, 금융, 정부 서비스, 주요 인프라 등 핵심 산업에서 210건 이상의 공격과 연관된 것으로 나타났다.
• 기타 특징 : 랜섬허브의 정확한 배후는 아직 확인되지 않았지만, 러시아어를 사용하는 조직적인 사이버 범죄 집단과 연관된 정황이 있으며, 이전부터 활동해 온 랜섬웨어 공격 집단과도 연결된 것으로 추정된다.
• 사례 : 유럽과 북미의 의료, 금융, 정부 서비스, 주요 인프라 등 핵심 산업을 공격 대상으로 삼고 있고, 210건 이상의 공격과 관련된 것으로 나타났습니다.