REvil 랜섬웨어 갱단 퇴치 14년 2022월 XNUMX일 러시아 FSB가 전 세계를 놀라게 했습니다. 그 전에는 해커들이 러시아를 공격하지 않는다면 러시아에서 안전할 것이라는 불문율이 있었습니다.
FSB의 발표는 게시 중단이 미국 당국의 요청에 따른 것이라고 주장했습니다. 이것은 사이버 범죄자에 대한 국제 협력의 새로운 시대의 여명입니까, 아니면 직장에서 러시아 외교의 일회성 예에 불과합니까? 시간이 중재자가 될 것입니다. 그 동안에는 추측만 할 수 있습니다.
외교 각도에 대한 강력한 주장은 REvil이 러시아에서 거의 레임덕에 가까운 부드러운 표적으로 보일 수 있다는 것입니다. 2021년 XNUMX월, REvil 인프라는 '계획된 게시 중단'. Mandiant Threat Intelligence의 John Hultquist는 AFP에 "상황은 여전히 진행 중이지만 REvil이 운영자 자신이나 업계 또는 법 집행 조치를 통해 계획적이고 동시적인 인프라 중단을 겪었음을 시사합니다."라고 말했습니다.
2021년 XNUMX월, REvil 랜섬웨어 갱과 관련된 Tor 서버는 압수 "다국가" 해킹 작전으로 설명된 것입니다. 교환원 중 한 명이 이별의 메시지를 남겼습니다. “저를 찾고 있었어요. 모두 행운을 빌어 요; 내가 갈께요."
[ 읽다: 러시아의 REvil Ransomware 흉상의 XNUMX가지 주요 신호 ]
2021년 5.6월, Europol은 REvil 및 GandCrab 랜섬웨어에 연결된 20명의 개인을 체포했다고 발표했습니다. 배경에서 바이든은 푸틴에게 러시아 사이버 범죄자들에 맞서 행동하라고 압력을 가하고 있는 반면, REvil 운영자들은 허세를 부리며 살아가는 것처럼 보였습니다. Interfax는 FSB가 약 XNUMX만 달러와 고급차 XNUMX대를 압수했다고 보고했습니다.
REvil이 러시아의 은밀한 해커 커뮤니티의 주요 가치, 즉 사이버 공격에 국가가 개입했다는 주장에 대해 푸틴이 그럴듯하게 부인할 수 있는 조항을 상실했다고 제안할 수 있습니다. REvil은 덜 매달린 과일이 되었고, 덜 매달린 과일은 항상 모든 사이버 활동의 첫 번째 목표입니다. REvil 제거에 대한 외교적 주장은 러시아가 손실은 적지만 잠재적으로 많은 것을 얻을 수 있다는 것입니다.
Trustwave는 (블로그 보고서) 다른 해커들이 상황에 대해 어떻게 생각하는지 알아보기 위해 러시아 지하 대화를 나눕니다. 이 회사는 2021년 XNUMX월 FBI와 FSB 사이에 비밀 회담이 있었다는 주장이 있을 때 긴장의 징후를 처음 발견했습니다. REvil이 체포되기 훨씬 전에 일부 해커는 이미 러시아가 더 이상 안전한 피난처가 아닐 수 있다고 제안했습니다.
체포된 이후로 Trustwave는 최소한 한 명의 지하 포럼 관리자가 법 집행 기관에 의해 '돌이켰다'는 제안을 포함하여 우려가 더 커졌다고 보고합니다. 한 회원은 "그는 평범한 노동자에 대한 법 집행을 위해 일하는 램프 포럼의 관리자입니다."라고 게시했습니다.
또 다른 한 누리꾼은 “한 가지 분명한 것은 국가가 지켜줄 것이라고 기대하는 사람들은 크게 실망할 것”이라고 말했다.
더 이상 안전하지 않다고 느끼는 해커가 지금 무엇을 해야 하는지에 대해 많은 이야기가 있습니다. 권장 사항에는 익명성을 위해 Tor를 사용하고 안전을 위해 암호화하고 보호를 위해 도난당한 물건을 단일 컴퓨터에 보관하지 않는 것이 포함됩니다. 한 포럼 회원은 아이러니하게도 “어디서든 아무거나 쓰는 것은 위험하다”고 썼다. “모스크바와 상트페테르부르크 곳곳에 카메라가 있습니다.”
[ 읽다: 다크 웹사이트를 폐쇄한 사례 ]
REvil 갱단의 낮은 과일 특성은 눈에 띄지 않습니다. “탐욕스러운 멍청이들에게는 전혀 불쌍한 일이 아니다. 여러 회사에서 조용히 앉아서 각자의 일을 하고 있는 수많은 사람들에게 유용한 주제가 잔뜩 쌓여 있었고, 그 다음(REvil), 거기에서 모든 것이 완전히 더럽혀졌습니다.”
Trustwave는 또한 REvil 체포가 단순히 외교적 쇼를 위한 것일 수 있는지에 대해 질문하지만 답변을 제공하지 않습니다. "한 포럼 회원은 FSB 작업이 사실, 가짜이거나 국제 소비를 위한 '쇼'일 가능성을 제기했습니다."라고 연구원은 기록합니다. "이 생각을 뒷받침하는 것은 미국 당국이 체포에 대해 공식적으로 언급하지 않았으며 FSB 활동이 미국 기관의 요청에 대한 응답이었다는 사실을 부인하거나 확인하지 않았다는 사실입니다."
러시아 외교가 국제적 관심을 주요 관심사(우크라이나?)에서 다른 곳으로 돌리기 위해 우회(REvil 체포?)를 만드는 데 능숙하다는 점은 주목할 가치가 있습니다.
그러나 가장 큰 문제는 다음과 같습니다. 러시아 정부는 체포된 사람들을 법이 정한 범위 내에서 철저히 조사하고 기소할 것입니까? 다른 사이버 범죄자를 체포하는 데 후속 조치를 취합니까? 기존 해커 커뮤니티는 어떻게 반응할까요? 해커는 포기하고 은퇴할 수 있습니다(거의 없음). 그들은 조용한 달리기에서 더 깊이 갈 수 있습니다 (거의 확실히). 또는 그들은 다른 기후로 떠날 수 있습니다.
한 가지는 분명합니다. 한 포럼 회원은 "우리 사업에서 슈퍼스타가 되는 것은 매우 나쁜 생각입니다."라고 말했습니다. REvil 체포는 주로 덜 시끄러운 범죄자를 방해하지만 '전문적인' 조용한 범죄자는 심각하게 방해하지 않을 수 있습니다. 물론 이것이 정말로 국제 협력의 전환점이 되지 않는 한.
관련: 러시아의 REvil Ransomware 흉상의 XNUMX가지 주요 신호
관련: SecurityWeek Cyber Insights 2022: 랜섬웨어
관련: FBI, JBS 공격에 REvil 랜섬웨어 확인
관련: 대규모 Kaseya Ransomware 공격의 규모, 세부 정보 등장
Kevin Townsend는 SecurityWeek의 수석 기고자입니다. 그는 Microsoft가 탄생하기 전부터 첨단 기술 문제에 대해 글을 써왔습니다. 지난 15년 동안 그는 정보 보안을 전문으로 했습니다. 타임즈와 파이낸셜 타임즈에서 현재 및 오래전에 사라진 컴퓨터 잡지에 이르기까지 수십 개의 다른 잡지에 수천 개의 기사가 실렸습니다.
태그 : 
