러시아 연방 보안국(FSB)이 미국 정부의 요청에 따라 REvil 랜섬웨어 그룹의 구성원을 체포했습니다.
성명에서 FSB는 REvil 조직원 14명을 구금하고 이들과 관련된 주소 25개를 검색했다고 밝혔습니다. 여기에는 암호화폐를 포함한 다양한 통화로 약 6.8만 달러에 해당하는 금액이 포함되었습니다. 20대의 프리미엄 차량; 컴퓨터 장비; REvil 그룹이 운영에 사용한 암호화폐 지갑.
이러한 발전은 오늘 우크라이나에서 발생한 일련의 사이버 공격에 대한 뉴스 가운데 나온 것입니다. 여러 정부 기관, 해당 국가의 교육부와 외무부를 포함합니다. 러시아에 기반을 둔 요원이 공격의 배후에 있는지 여부는 아직 확실하지 않지만 많은 사람들이 이들을 용의자로 지목했습니다.
FSB는 조사를 REvil 작전이 중단되고 범죄 기반 시설이 무력화되는 복잡하고 조정된 노력이라고 설명했습니다. FSB에 REvil의 주동자를 식별하고 외국 법인을 표적으로 하는 갱단의 랜섬웨어 활동에 대한 자세한 정보를 제공한 미국 당국의 명령에 따라 조사 및 중단이 시작되었습니다. FSB가 말했다. 미국 당국은 작전에 대한 전체 세부 사항을 제공받았다고 덧붙였다.
적어도 러시아 당국이 설명한 대로 REvil의 제거는 중요합니다. 러시아는 역사적으로 조직적인 랜섬웨어 그룹의 은닉을 거부했으며 미국의 요청에도 불구하고 이에 대해 아무런 조치도 취하지 않았기 때문입니다. 바이든 대통령은 지난 XNUMX월 회의에서 러시아에 경고 미국의 중요 기반 시설은 해커의 접근이 금지되어 있으며 블라디미르 푸틴 러시아 대통령에게 해외에서 활동하는 랜섬웨어 및 기타 사이버 범죄 그룹에 대응할 것을 촉구했습니다.
소디노키비(Sodinokibi)라고도 알려진 REvil의 공격 활동은 2020년에 표면화되었으며 서비스형 랜섬웨어(ransomware-as-service) 모델에 따라 다른 위협 그룹에 맬웨어를 제공했습니다. 랜섬웨어는 주요 조직에 대한 여러 공격에 사용되었지만, 랜섬웨어만큼 문제가 되는 것은 없습니다. JBS 식품 지난 2021월 미국과 호주에서 육류 가공 및 배송에 큰 차질을 빚었습니다. 광범위한 우려를 야기한 또 다른 사건은 XNUMX년 XNUMX월 카세 야, 랜섬웨어가 수천 명의 관리 서비스 제공업체 고객에 속한 시스템에 배포되었습니다.
지난 XNUMX월 미 법무부가 발표한 백만 달러 보상 REvil 그룹의 주요 개인을 식별하거나 위치를 파악하는 정보의 경우, 계열사의 체포 및 유죄 판결로 이어지는 정보의 경우 5만 달러.
진정한 동기에 대한 회의론
몇몇 보안 전문가들은 금요일 FSB의 조치를 환영하며 전반적으로 좋은 일이라고 설명했습니다.
그러나 미국과 러시아가 우크라이나를 침공할 준비를 하고 있다는 우려로 긴장이 고조되고 있는 상황이라는 점을 감안할 때 이번 조치의 진짜 동기에 대해 회의적인 시각도 있다. 우크라이나 상황을 완화하기 위한 두 나라 간의 대화는 지금까지 아무 성과도 거두지 못했으며 지역 내 갈등이 미-러 관계에 심각한 혼란을 초래할 수 있다는 우려가 커지고 있습니다.
Shift5의 공동 설립자이자 Shift11의 창립 멤버인 Josh Lospinoso는 "REvil을 쓰러뜨리는 것은 미국과의 대화에서 러시아에 잘 도움이 되며 우크라이나와의 갈등을 방해할 가능성이 있는 서방 국가의 호의를 받는 데 도움이 됩니다."라고 말했습니다. 미국 사이버 사령부. "이 공개 전시는 또한 러시아가 REvil이 JBS 사이버 공격에 책임이 있다는 그럴듯한 부인성을 제공하며, 몸값으로 XNUMX만 달러를 받았습니다."
REvil을 제거함으로써 러시아는 중요한 기반 시설에 대한 사이버 공격의 맹공격을 심각하게 받아들이고 있다는 메시지를 보냅니다. 그러나 랜섬웨어 그룹, 특히 푸틴 정권과 직간접적으로 협력하는 그룹은 반격의 역사가 있다고 Lospinoso는 말합니다. 그는 REvil을 대체할 또 다른 그룹이 나타날 가능성이 높다고 말했습니다.
Immersive Labs의 사이버 위협 연구 책임자인 Kevin Breen은 현재 지정학적 상황으로 인해 러시아가 REvil 작전을 중단하면서 어떤 종류의 메시지를 보내고 있는지 파악하기 어렵다고 말했습니다. 작전이 러시아 당국의 사이버 보안 문제에 대한 장기적인 협력 의지를 나타내는지 여부는 시간만이 알 수 있습니다.
브린은 "러시아 영토 내에서 시작되는 사이버 공격을 방해하고 저지하기 위해 국제 당국과 지속적으로 협력하는 것은 정부가 장기적인 변화를 추진할 것이라는 메시지를 보낼 것"이라고 말했다.
표면적으로는 FSB가 REvil을 제거한 것은 러시아가 미국 당국과 동맹국의 정보에 따라 행동할 의향이 있다는 신호입니다. 지하 포럼에서 수다를 떠는 Trustwave 모니터링 지난 XNUMX월에는 러시아에 기반을 둔 위협 행위자들이 러시아에서 그들을 추적하는 법 집행에 대해 어느 정도 우려하고 있는 것으로 나타났습니다. 보안 공급업체에 따르면 일부 포럼 회원은 잡히는 경우와 이에 대비하는 방법 및 뒤따를 수 있는 잠재적 문장에 대해 논의했습니다. REvil 그룹 자체는 활동에 대한 법 집행 기관의 관심이 높아짐에 따라 지난 몇 개월 동안 작업을 중단했습니다.
Stairwell의 위협 분석가인 Silas Cutler는 REvil 체포가 러시아가 해외에서 활동하는 랜섬웨어 및 기타 위협 그룹과 싸우기 위해 노력하는 모습을 유지하려는 시도일 수 있다고 말했습니다. 그러나 적어도 지금까지 이 행동은 최소한 일부 사이버 범죄자를 놀라게 하는 데 거의 기여하지 않은 것으로 보입니다.
커틀러는 “사이버 범죄 포럼 회원들은 체포된 사람들이 이 그룹의 핵심 회원일 가능성이 낮고 적절한 보호 기관에 돈을 지불하지 않은 중급 계열사일 가능성이 낮다는 농담을 하며 재빨리 논평했다”고 말했다. "지난 몇 년 동안 일부 랜섬웨어 제품군은 러시아어 인공물이 있는 시스템에 영향을 미치지 않도록 특별히 설계되어 러시아 법률을 위반하지 않기 위해 운영이 국제적 목표에만 집중되도록 할 수 있습니다."
