러시아 최고 법 집행 기관의 갑작스러운 조치로 매우 공개적으로 REvil 랜섬웨어 작전 중단 외교가 대규모 랜섬웨어 공격을 늦추는 열쇠를 어떻게 쥐고 있는지에 대해 떠들썩하게 했습니다.
"미국의 요청으로" 수행되었다는 신중하게 공표한 침몰 작전은 더 큰 규모의 러시아-우크라이나 지정학적 갈등 이미 연결되어 있는 데이터 삭제 악성코드 공격 및 표적 웹사이트 훼손.
미국 정부는 러시아가 여러 차례에 걸친 세간의 이목을 끄는 랜섬웨어 공격을 무시했다고 공개적으로 비난했습니다. 구부러진 가스 파이프라인 과 식음료 운영 중단 그리고 백악관은 지난해 러시아 랜섬웨어 자산 이전 활동에 대한 데이터를 공유한 후 "후속 조치"를 주장했다.
이제 러시아는 매우 신중한 방식으로 단독 후속 조치를 시사하고 있는 것으로 보입니다. 이러한 조치는 의심할 여지 없이 군사 분쟁 및 경제 제재를 둘러싼 더 큰 외교 협상과 관련된 조치입니다.
랜섬웨어 생태계가 올해 남은 기간을 어떻게 뒤흔드는지 이해하기 위해 전송되는 XNUMX가지 주요 신호를 면밀히 조사할 가치가 있습니다.
1. 랜섬웨어는 외교로 (부분적으로) 해결할 수 있습니다.
이 작전에 관한 모든 것이 직장에서 .gov 외교를 비명을 지르고 있습니다. 러시아인들이 쇼를 펼쳤고, 습격 동영상 게시 세심하게 조율된 발표 단속은 미국인들에게 주어진 선물이었다.
FSB의 보도 자료는 그것이 미국의 요청에 대한 응답이라는 점을 매우 분명하게 밝혔으며, 이는 사이버 보안 문제에 협력하기 위해 법 집행 범위를 사용할 의향이 있다는 명백한 신호였습니다.
많은 사람들이 회의적이지만(나중에 REvil 제거 선택에 대해 자세히 설명), 이는 정부가 주요 사이버 범죄 활동, 특히 지정학적 및 국가 안보에 영향을 미치는 활동을 효과적으로 저지할 수 있음을 확인하는 것입니다. 정치인의 몇 차례 회의는 갑작스러운 법 집행 명령과 사이버 범죄자의 무릎 꿇기로 이어질 수 있습니다.
전 세계의 법 집행 이니셔티브가 기업 네트워크에서 랜섬웨어를 빼내기 위해 고군분투하는 네트워크 방어자들에게 위안을 줄 수 있음을 보여줍니다.
[독서: SecurityWeek Cyber Insights 2022: 랜섬웨어 ]
2. REvil은 덜 매달린 과일이었습니다.
러시아인들이 이 작전의 표적으로 REvil을 선택한 것이 흥미롭습니다. 진실은 REvil의 맬웨어 작업이 이미 미국 정부와 서부의 법 집행 동맹에 의해 손상되었다는 것입니다.
As 작년 XNUMX월에 썼어요, 미국 주도의 법 집행 기관 해킹 작전으로 Tor 서버가 압수되었고 갱단이 범죄 혐의로 지목된 후 REvil을 효과적으로 불구로 만들었습니다. 식민지 파이프 라인 해킹 그리고 Kaseya 공급망 타협.
REvil은 이미 혼란을 겪었고 그 운영자는 미국 당국에 알려져 있기 때문에 러시아의 협상가들이 미국이 더 큰 거래를 할 의향이 있는 경우 다른 더 큰 물고기에 협력할 수 있다는 신호를 공개적으로 표시하는 것은 꽤 쉬웠습니다.
나는 국가 맬웨어 추적 분야의 깊숙이 있는 사람에게 그의 의견을 물었고 그의 응답은 완전히 이해되었습니다. “신호가 무엇인지는 분명합니다. 모든 사람이 신호를 올바르게 이해하는 것도 중요합니다. 당신은 우리에게 랜섬웨어에 대해 조치를 취하도록 요청했고 우리는 해냈습니다. 이제 우리를 위해 무엇을 하시겠습니까?”
[ 독서: REvil Ransomware 갱단이 법 집행 기관의 해킹 공격을 당했습니다. ]
3. 범죄 조직에 공포를 조장:
이 중단의 큰 부작용은 억제입니다. 혐의에 관계없이 - 사이버 범죄법에는 러시아인 피해자가 필요하기 때문에 체포된 사람들은 돈세탁 혐의가 더 가볍습니다. 러시아에서, 특히 XNUMX월에 투옥되는 것은 재미가 없습니다.
체포된 사람들의 대부분은 랜섬웨어 생태계에서 하위 수준의 REvil 계열사로 여겨지지만, 그들이 외교 협상에서 소모성 자산이라는 것은 주모자와 갱 지도자들에게 직접적인 교훈입니다.
이러한 억제는 과감한 공격이 눈에 띄게 감소하고 사이버 범죄자가 트랙을 덮거나 전체 작업을 중단하려는 더 많은 시도로 이어질 것입니다. DarkSide에서 본 것처럼 콜로니얼 파이프라인 해킹 이후
[ 독서: DarkSide Ransomware 종료: 출구 사기 또는 언덕을 향한 달리기? ]
4. 이란-북한 랜섬웨어 연결:
REvil의 제거가 미국-러시아 관계의 렌즈 내에서 검토되고 있지만, 경제 제재를 우회하기 위해 랜섬웨어 공격과 암호화폐 은행 강도를 사용하는 북한과 이란의 두 국가가 있습니다.
러시아가 랜섬웨어 피해를 협상의 지렛대로 사용할 수 있다면 다른 국가에서도 동일한 전략을 추구하는 선례가 될 것입니다. 북한 해커들 무려 400억 달러를 훔쳤다. 2021년에 암호화폐 가치가 증가하고이란의 국가 지원 행위자로부터 오는 문서화된 랜섬웨어 공격이 있습니다.
이러한 .gov 위협 행위자들은 책임을 회피하거나 향후 외교 협상을 시작하기 위해 민간 부문 행위자들에게 제재를 가하는 랜섬웨어 작업을 아웃소싱하는 것을 볼 수 있습니다.
[ 독서: Microsoft, 우크라이나 사이버 공격에 사용된 파괴적인 맬웨어 발견 ]
5. (좋은) 속성의 가치
더 흥미로운 점 중 하나는 미국 정부가 랜섬웨어 생태계의 행위자를 포함하여 정점 포식자를 방해하는 데 사용되는 새로운 "모래 마찰" 전략에서 고품질 속성을 사용한다는 것입니다.
XNUMXD덴탈의 전략 여기에는 표적 APT 활동에 대한 특정 경고와 함께 여러 기관의 권고가 포함되며, 방어자를 돕기 위한 도구와 IOC를 노출하기 위해 소셜 미디어에서 직접 귀속을 사용합니다. 이 고품질 속성은 REvil 갱 체포로 이어지는 .gov 정보 공유 수준에 매우 중요합니다.
귀인은 까다로운 규율일 수 있지만 그 가치는 그 어느 때보다 시급합니다.
사이버 보안 업계는 정부와 외교관이 대화를 주도하는 경우에도 랜섬웨어 생태계의 우여곡절을 이해하는 것이 중요합니다.
관련: 러시아, REvil Ransomware 갱단에 Smackdown 배치
관련: 우크라이나 해킹으로 러시아와의 사이버 충돌 우려 가중
관련: DarkSide Ransomware 종료: 출구 사기 또는 언덕을 향한 달리기
관련: REvil Ransomware 갱단이 법 집행 기관의 해킹 공격을 당했습니다.
관련: 미국 재무부, 랜섬웨어 방지 단속으로 암호화폐 거래소 제재
온라인 진행: Ransomware Resilience & Recovery Summit 등록 시작 – 26월 XNUMX일
Ryan Naraine은 SecurityWeek의 편집장이며 인기있는 보안 대화 팟캐스트 시리즈. 그는 IT 보안 및 기술 동향을 다루는 20년 이상의 경험을 가진 저널리스트이자 사이버 보안 전략가입니다.
Ryan은 Intel Corp., Bishop Fox 및 Kaspersky GReAT를 포함한 주요 글로벌 브랜드에서 보안 참여 프로그램을 구축했습니다. 그는 Threatpost 및 글로벌 SAS 컨퍼런스 시리즈의 공동 창립자입니다. 기자로서의 Ryan의 경력에는 Ziff Davis eWEEK, CBS Interactive의 ZDNet, PCMag 및 PC World를 포함한 주요 기술 출판물의 바이 라인이 포함됩니다.
Ryan은 Security Tinkerers 비영리 단체의 이사이자 전 세계 보안 컨퍼런스의 정기 연사입니다.
트위터에서 Ryan 팔로우 뿡 빵뀨.
태그 : 출처: https://www.securityweek.com/five-key-signals-russias-revil-ransomware-bust
