 |
15일 SK쉴더스 EQST가 발간한 '카르텔 모델을 도입한 드래곤포스(DragonForce) 랜섬웨어' 보고서에 따르면, 올해 4월 랜섬웨어 피해 사례는 550건을 기록했다. 지난 3월(773건) 대비 29% 감소한 수준이다.
보고서는 "지난 3월까지 매달 70건 내외의 피해자를 발생시키던 랜섬허브 그룹이 더 이상 활동하지 않는 것에 영향을 받은 것으로 보인다"며 "신규 그룹이 많이 등장했지만, 기존에 많은 활동을 보이던 그룹이 주춤한 것이 가장 큰 요인으로 작용했다"고 분석했다.
랜섬허브는 지난해 상반기부터 랜섬웨어 공격을 전개하며 글로벌 보안 업계의 주목을 받아왔다. 지난해 7월에는 전체 랜섬웨어 활동량의 32%에 해당하는 48건을 게시하며, 주요 공격 그룹인 '록빗'(12건)을 앞지르기도 했다.
SK쉴더스에 따르면 랜섬허브는 올 3월까지 활동을 이어오다, 3월31일 다크웹 유출 사이트를 비활성하며 활동을 중단했다. 보고서는 "이전부터 자주 다크웹 유출 사이트 접속에 문제가 있었지만, 이번에는 계열사들도 인프라 접근에 문제가 생겨 다른 그룹의 플랫폼에서 피해자와 협상을 진행하는 등 운영에 차질이 발생했다"고 부연했다.
랜섬허브 활동이 주춤하면서, 신규 그룹이 등장하기도 했다. 대표적인 곳이 드래곤포스다. 보고서는 "4월에는 드래곤포스 그룹이 랜섬허브의 인프라를 운영하게 됐다고 주장하며 혼란이 가중됐다"며 "이에 따라 랜섬허브가 리브랜딩(rebranding)을 위해 활동을 중단했거나, 드래곤포스가 랜섬허브를 인수했다는 등 의견이 제시되는 만큼 추후 움직임을 지켜볼 필요가 있다"고 강조했다.
드래곤포스는 '카르텔'이라는 조직명을 사용하며 제휴사에게 자체 브랜드를 출시할 수 있는 권한을 부여하는 방식으로 영향력을 확장하고 있다. 악성 도구와 관리 패널 등 인프라를 제공하면, 계열사가 이를 독립적인 브랜드에 활용하는 구조다. 보고서는 "특정 도구 사용을 강제하지 않으면서 독립적인 브랜드를 운영할 수 있기 때문에, 숙련된 공격자들까지 유입되는 유연한 구조"라고 평가했다.
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.