수년 동안 러시아와 러시아어 사용자의 생태계는 모든 유형의 사이버 공격, 국가 공격 및 사이버 전쟁의 중심에 있었습니다. 끊임없이 진화하고 변화하는 범죄 지하 감옥입니다.
Mandiant의 수석 관리자이자 수석 분석가인 Jeremy Kennelly는 "많은 관련 행위자가 은행 자격 증명을 표적으로 하는 캠페인에 집중하고 사기성 금융 송금 및 거래를 생성하여 결국 결제 카드 사기 및 PoS 악성코드 사용으로 전환했습니다.
보다 최근에는 랜섬웨어 캠페인이 러시아어를 사용하는 사이버 범죄 조직에서 선택되는 공격 방법이 되었습니다. 이유는 간단합니다. 랜섬웨어 및 데이터 절도/갈취 작업이 모든 산업 분야에서 성공적입니다. Kennelly에 따르면 과거에는 사이버 범죄자를 위한 최고의 재정적 기회가 POS(Point-of-Sale) 시스템에서 발견되었으며 신용 카드 거래에 의존하는 산업으로 대상을 제한했습니다. 랜섬웨어는 예를 들어 교육, 의료 및 제조 분야에서 사용될 수 있기 때문에 지평을 넓혀줍니다.
러시아 사이버 범죄 단결 흔들기
영어 사이버 범죄 현장과 비교할 때 러시아어 사이버 범죄 현장은 지난 21여 년 동안 눈에 띄게 안정적이었습니다. 영어 사이버 범죄는 혼란스러운 경향이 있으며 사이트와 범죄 조직이 나타났다가 사라졌다가 다시 돌아옵니다. 반면에 XNUMX세기 초에 설립된 러시아어를 사용하는 사이버 범죄 그룹은 동일한 인기 있는 포럼과 사이트를 지속적으로 사용하여 계속 번성하고 있습니다.
그러나 러시아 사이버 범죄 조직에 균열이 형성될 수 있습니다. 작년에 러시아어 장면에서 사이버 범죄 조직 사이에 약간의 비특이한 마찰이 있었습니다. 그 대부분은 법 집행 활동의 증가로 인한 것일 수 있습니다. 특히 러시아와 미국 관리 사이. 균열은 볼 때 명백해진다. 식민지 파이프라인 공격, 랜섬웨어 그룹 DarkSide가 수행했으며, REvil 그룹의 전 직원이 만든 것으로 추정됩니다.
“러시아는 오랫동안 사이버 범죄자들이 러시아 법인을 표적으로 삼지 않는 한 비교적 안전한 피난처로 인식되어 왔습니다. FSB(연방 보안 서비스)의 활동은 이 개념에 도전합니다. 많은 랜섬웨어 그룹이 FSB의 분노를 피하기 위해 활동을 축소해야 한다고 느낄 수도 있는 것이 현실적으로 가능합니다." 디지털 위험 보호 샵 Digital Shadows의 Photon Research Team 보고서. "REvil 구성원에 대한 급습은 사이버 범죄자와 러시아 국가 간의 관계가 일부 사이버 범죄자가 생각했던 것보다 더 일방적이라는 것을 보여줍니다."
Photon Research Team에 따르면 2021년의 또 다른 주요 발전은 특정 랜섬웨어 파트너십 프로그램에 대한 태도를 바꾸는 것이었습니다. 유명한 러시아어 사이버 범죄 포럼. 편집증은 REvil 및 DarkSide 랜섬웨어 그룹의 구성원이 조정한 Colonial Pipeline 공격의 여파로 성장했습니다. Photon Research Team은 법 집행 기관의 단속이 사이버 범죄 포럼 리더에게 랜섬웨어 관련 활동을 제한하도록 압력을 가했다고 주장합니다.
중러 관계 강화
랜섬웨어 파트너 프로그램의 변경으로 새로운 러시아어 사이버범죄 랜섬웨어 포럼이 만들어졌습니다. 랜섬 아논 마켓 플레이스, RAMP로 알려져 있습니다(유사한 이름의 의약품 시장과 혼동하지 마십시오). 그 역할은 클라이언트에게 랜섬웨어를 서비스로 제공하는 것이었지만 포럼의 원래 제작자가 떠난 후 RAMP는 새로운 삶을 시작하여 중국어 사이버 범죄자를 위한 공간 러시아어 스피커와 협력하기 위해.
사이버 보안 컨설팅 회사인 Coalfire의 기술 및 기업 부사장인 Andrew Barratt는 "사이버 범죄는 지리적 장벽보다는 금전적 결과에 더 많은 관심을 가진 그룹에 의해 전 세계에서 시작되는 경우가 많습니다."라고 설명합니다. 러시아 범죄 조직은 재정적 최종 목표에 더 관심이 있으며, 이는 원하는 결과에 도달하기 위해 다른 사이버 범죄 그룹과 협력 관계를 맺는 것을 의미할 수 있습니다. 그리고 다른 국가들은 역사적으로 러시아어를 사용하는 범죄가 발생하기 때문에 러시아와 협력하기를 원합니다. 크렘린으로부터 지원과 보호를 받습니다.
거의 모든 사이버 범죄에는 금전적 보상이라는 하나의 목표가 있습니다.
IT 보안 회사 Bugcrowd의 설립자이자 CTO인 Casey Ellis는 "러시아와 동유럽에서 발생하는 사이버 범죄는 성공적인 비즈니스 모델의 소유자가 성공을 두 배로 늘리고 지속적인 혁신과 효율성 개선에 수익을 재투자하는 규칙에서 예외가 아닙니다."라고 말했습니다.
랜섬웨어 그룹의 브랜드 변경과 함께 러시아어 범죄 그룹은 다른 지역 또는 국가 후원 그룹과 더 협력하는 방향으로 이동했습니다. 러시아 정부의 단속 이후, 러시아어를 사용하는 위협 행위자들은 정부의 보복에 대한 두려움이 덜한 중국으로 이주하는 것을 고려할 수도 있습니다. 러시아어와 중국어 사이버 범죄자가 합세하면 새로운 초강대국을 만들 수 있다, 비영리 미국 싱크탱크인 외교협의회(Council on Foreign Relations)의 Adam Segal은 추측합니다.
그러나 그런 일은 아직 일어나지 않았습니다. 랜섬웨어 기반 범죄는 여전히 사이버 범죄 생태계가 가장 성공적인 분야이며, 적어도 가까운 장래에는 그 상태를 유지할 것입니다. 그러나 러시아어를 구사하는 사이버 범죄자는 매우 정교하기 때문에 항상 진화하고 있습니다. 전 세계의 조직과 정부는 항상 경계하고 다음 움직임에 대비해야 합니다.
