【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]다크웹의 유령들…'헌터스' 떠나고 '노바' 돌아왔다

온카뱅크관리자

2025-08-02 13:07:31

<div id="layerTranslateNotice" style="display:none;"></div>  <strong class="summary_view" data-translation="true">단기 활동·리브랜딩·맞춤형 협상 채널까지…조직 추적 피하려는 전략 다양화<br>EQST "보안 패치 미비 시스템 집중 노려…선제적 대응 필수"</strong> 
        <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
         <section dmcf-sid="64OKhHf5Zf">
          <figure class="figure_frm origin_fig" contents-hash="fc19d15a662adfd0dc5c08734080a5a676cbbc6da83facd888717bd197be5459" dmcf-pid="P8I9lX415V" dmcf-ptype="figure">
           <p class="link_figure"><img alt="[서울=뉴시스]" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202508/02/newsis/20250802130142834ehvu.jpg" data-org-width="640" dmcf-mid="8sQSRaWAX4" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202508/02/newsis/20250802130142834ehvu.jpg" width="658"></p>
           <figcaption class="txt_caption default_figure">
            [서울=뉴시스]
           </figcaption>
          </figure>
          <p contents-hash="8f69831f2c7fd83df72cce6772d023171567213ef9ae2c1462b777e344485db0" dmcf-pid="Q6C2SZ8tX2" dmcf-ptype="general"><br> [서울=뉴시스]송혜리 기자 = 최근 랜섬웨어 조직들의 활동 방식이 진화하고 있다. </p>
          <p contents-hash="1aef62de082a573103dde14b85cefe3d203c72d3c830e2a1e12d3f8bc971487a" dmcf-pid="xPhVv56Ft9" dmcf-ptype="general">예전에는 한 조직이 오랜 시간 동안 대규모로 공격을 이어가며 수익을 추구했다면 요즘은 짧은 시간 안에 빠르게 돈을 벌고 흔적을 감추는 '떴다방'식 전략을 쓰고 있다. 수사당국의 추적과 대응이 빨라지면서 장기 활동시 꼬리를 밟힐 수 있다는 우려 때문이다.</p>
          <p contents-hash="ee8c98e4602f791317d0e41154c2f1aa0fb23c4ac0c38b55a8a3b7cf0a089233" dmcf-pid="yv4IPnSgXK" dmcf-ptype="general">실제로 유명 랜섬웨어 조직들이 활동을 멈춘 사이, 새로운 그룹들이 나타나 짧게 활동한 후 사라지는 일이 반복되고 있다. 이들은 특정 기간에 집중적으로 공격하고 조직 이름을 바꾸는(리브랜딩) 등 더 정교한 전략을 사용해 보안 및 수사당국을 혼란스럽게 만들고 있다. 특히 최근에는 피해자별 전용 협상 채널을 구축하거나 탈취 데이터 샘플을 클라우드에 별도 저장해 피해자만 확인 가능하도록 설계하는 등 고도화된 방식도 등장했다. </p>
          <h3 contents-hash="97c0d37a8d43b407252d896c065ff2bc58c5572b327be20472e5c61cf42d1424" dmcf-pid="WT8CQLvaZb" dmcf-ptype="h3"><strong>수사망 좁혀오자 꼬리 자르기…사라졌다가 다른 이름으로 다시 등장</strong></h3>
          <div contents-hash="5e0ad298be8500a4431ff03fd3e13a3574ecd8e28df36840affbdc1878749ab9" dmcf-pid="Yy6hxoTN5B" dmcf-ptype="general">
           <strong> 국내 최대 화이트해커 조직인 EQST에 따르면, 지난달 글로벌 랜섬웨어 피해 사례 수는 지난 5월 484건에 비해 소폭 증가한 505건을 기록했다. <br><br> 4월 이후, 대형 랜섬웨어 그룹들의 활동 중단 사례가 잇따르고 있다. 이에 반해 한두달 간 짧게 활동하는 신규 랜섬웨어 그룹의 비중이 증가하는 추세다. 지속적인 법 집행 기관의 단속과 피해 기업들의 몸값 지불 거부 등으로 장기 활동에 대한 부담이 커진 것으로 보인다. <br><br> 이에 따라 서비스 형태의 랜섬웨어를 활용해 단기간에 집중적으로 활동하거나 하나의 조직이 여러 랜섬웨어 프로젝트를 진행하는 경우 혹은 조직 이름을 새로운 것으로 변경하는 '리브랜딩'을 통해 수시로 정체를 바꾸는 경향이 뚜렷해지고 있다.<br><br> 이러한 흐름을 뒷받침하는 한 예로 지난 4월 '라로드(RaLord)'라는 이름으로 처음 나타난 랜섬웨어 그룹이, 불과 한달 만인 5월에 '노바(Nova)'로 이름을 바꾸고(리브랜딩) 다크웹 포럼인 'RAMP 포럼'에 홍보글을 올리며 활동을 시작했다. 이 그룹은 자신들의 유출 사이트에서 홍보하던 기존 제휴 서비스뿐 아니라, 랜섬웨어 기능과 특징도 자세히 설명하면서 자신들과 함께할 파트너(공격자)를 모집하고 있다.<br><br> 반면, 2023년부터 활동을 시작한 대형 랜섬웨어 그룹인 '헌터스(Hunters)'는 지난달 공식적으로 랜섬웨어 활동 중단을 선언했다. 이 그룹은 제조업, 금융, 의료, 물류, 교육, 정부기관 등을 주요 표적으로 삼아, 올해까지 전 세계적으로 약 200~300여개 이상의 기관을 공격한 것으로 추정된다.<br><br> 지난달 3일 헌터스는 자신들의 다크웹 유출 사이트의 공지사항으로 '헌터스 인터네셔널(Hunters International) 프로젝트를 종료하기로 결정했습니다'라는 내용을 전달했다.<br><br> 이들의 프로젝트 종료 움직임은 지난해 11월부터 있었다. 헌터스를 이용하는 제휴사의 패널에 '랜섬웨어 프로젝트는 위험성이 높으나 수익성은 점점 낮아지고 있어 랜섬웨어 프로젝트를 종료할 것'이라는 글을 업로드 했다. 이후 지난 5 월부터 데이터 탈취만을 목적으로 하는 '월드 리크스(World Leaks)' 활동을 시작했지만, 지난달에 헌터스는 프로젝트를 공식적으로 종료했다.<br><br> </strong>
          </div>
          <h3 contents-hash="b378475b861ff68801eb5b968db3e941758725d56596392ffc3b686e64823525" dmcf-pid="GWPlMgyj5q" dmcf-ptype="h3"><strong><strong>피해자별 맞춤 협상 채널 운영하는 랜섬웨어도 등장 </strong></strong></h3>
          <div contents-hash="1c0f2b208d5026f1f6933c713a9426ea5732ea5b44e1aae662a8d3055e853ca2" dmcf-pid="HYQSRaWAXz" dmcf-ptype="general">
           <strong> EQST는 최근 활동이 포착된 다이어울프(DireWolf) 랜섬웨어 그룹에 주목했다. 이 그룹은 지난 5월경부터 본격적으로 활동을 시작했으며 현재까지 총 16건의 피해 사례를 다크웹 상에 게시한 상태다.<br><br> 다이어울프는 각 피해자별로 어떤 데이터를 탈취했는지, 업로드 시점은 언제였는지 등의 세부 정보를 체계적으로 기록하고 협상이 결렬되거나 일정 기간이 경과할 경우 해당 데이터를 누구나 접근할 수 있도록 다크웹에 공개한다.<br><br> 특히 이 그룹은 피해자별 전용 협상 채널을 제공하는 점에서 기존 랜섬웨어 그룹들과 차별된다. 랜섬노트에는 피해자가 접속할 수 있는 다크웹 유출 사이트 주소, 협상용 채팅 사이트 주소, 접속에 필요한 룸 ID, 사용자명, 비밀번호까지 포함돼 있다. 이를 통해 피해자와 직접 협상할 수 있는 비공개 채널을 운영한다.<br><br> 또 자신들이 실제로 데이터를 탈취했음을 입증하기 위한 샘플 데이터를 다크웹에 직접 올리지 않고 이를 압축해 클라우드 스토리지에 업로드한 후, 해당 링크만 피해자에게 제공하는 방식도 활용한다. 이는 탈취 사실을 피해자에게만 제한적으로 공개함으로써 협상 압박을 극대화하는 동시에 수사기관의 추적을 회피하기 위한 전략으로 분석된다.<br><br> EQST는 이처럼 피해자 개별 맞춤 방식으로 협상 채널을 운영하고 클라우드 기반 샘플 제공 방식을 사용하는 점을 감안하면 다이어울프는 피해자 맞춤형으로 일부 기능이 수정된 랜섬웨어 변종을 배포하고 있을 가능성이 높다고 분석했다.<br><br><br><span>☞공감언론 뉴시스</span> chewoo@newsis.com </strong>
          </div>
         </section> 
        </div> 
        <p class="" data-translation="true">Copyright © 뉴시스. 무단전재 및 재배포 금지.</p>

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

놀이터홍보 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기