보안동향

최신 보안정보를 신속하게 전해드립니다.

Black Basta Ransomware 그룹의 내부 채팅 로그 유출

2025-02-27

2025년 2월 11일, "ExploitShinpers"라는 인물이 Black Basta 랜섬웨어 그룹의 Matrix 서버에서 유출된 약 1.2GB 규모의 내부 채팅 로그를 텔레그램 채널에 공개했습니다. 유출자는 이번 공개의 이유로 Black Basta가 러시아 은행을 표적으로 삼았다는 점을 들었으나, 그가 조직 내부자였는지, 아니면 외부에서 통신 시스템에 침입한 해커였는지는 아직 명확히 밝혀지지 않았습니다.

유출된 데이터는 2023년 9월부터 2024년 9월까지 약 1년간 그룹 구성원 간에 오간 20만 개 이상의 메시지를 포함하고 있으며, ▲피싱 이메일 템플릿 및 이메일 발송 대상 목록 ▲랜섬웨어 조직의 내부 운영 방식 ▲공격을 받은 피해 기업의 목록 등 그룹 활동과 관련된 광범위한 정보가 담겨 있습니다. 이번 사건은 2022년 초에 있었던 Conti 랜섬웨어 그룹의 채팅 로그 유출과 매우 유사한 방식으로 진행되어 주목받고 있습니다.

(1) Black Basta Ransomware 그룹

Black Basta(블랙바스타)는 2022년 4월부터 등장한 랜섬웨어 서비스(RaaS, Ransomware-as-a-Service) 그룹으로, Conti와 REvil 랜섬웨어의 직접적인 후계로 알려져 있습니다. 이들은 특히 건설, 의료, 제조업 등 다양한 산업 분야의 조직을 표적으로 삼아 빠르게 악명을 떨쳤습니다.
Black Basta는 이중 갈취(Double Extortion) 방식을 사용해 피해 조직의 데이터를 암호화하고 탈취한 정보를 공개하겠다고 협박하여 몸값을 요구합니다. 또한, 자체 운영하는 데이터 유출 사이트를 통해 피해 기업 정보를 게시하는 전략을 활용합니다. 공격 방식으로는 사회공학적 기법, 피싱 이메일, RDP 및 VPN 취약점 악용 등이 있으며, Qakbot, IcedID, Cobalt Strike 등과 연계된 사례도 보고되었습니다.

(2) 랜섬웨어 그룹이 Matrix와 같은 보안 메신저를 사용하는 이유와 특징

Matrix는 오픈소스 기반의 분산형 메신저 프로토콜입니다. 다양한 서버가 연결되어 중앙서버에 종속되지 않고 분산된 구조를 갖는 것이 특징입니다. 특히 엔드 투 엔드 암호화(End-to-End Encryption, E2EE)를 지원하여 높은 수준의 통신 보안을 제공합니다.
랜섬웨어 그룹이 Matrix와 같은 보안 메신저를 선호하는 이유는 엔드 투 엔드 암호화(E2EE)를 통한 강력한 보안성과 익명성을 제공하며, 중앙 서버에 종속되지 않는 탈중앙화된 구조로 수사기관의 단속이나 서버 폐쇄로부터 상대적으로 안전하기 때문입니다. 또한 오픈소스 플랫폼 특성상 비용 없이 자유롭게 커스터마이징이 가능하며, 자체 서버 구축 및 운영을 통해 데이터 관리와 접근 권한 등을 효과적으로 통제할 수 있어 조직 운영과 데이터 유출 방지에 유리합니다. 이에 더해 메시징뿐 아니라 파일 공유, 봇 활용 등 다양한 기능을 하나의 플랫폼 내에서 사용할 수 있어 그룹 운영에 편리하다는 장점도 있습니다.

(3) 이전의 Conti Ransomware 내부 메시지 유출

Conti Ransomware는 2020년부터 활동한 서비스형 랜섬웨어(RaaS)로, 러시아 기반 해킹 그룹이 운영하며 공공 및 민간 기관을 대상으로 한 광범위한 공격으로 악명이 높았습니다.
2022년 2월 말, Conti 그룹 내부 채팅 로그가 유출되는 사건이 발생했습니다. 이는 Conti가 러시아의 우크라이나 침공을 지지한 이후, 우크라이나 보안 연구원에 의해 이루어졌습니다. 유출된 데이터에는 60,000개 이상의 내부 메시지가 포함되어 있으며, 이전에 보고되지 않은 피해자 정보, 개인 데이터 유출 URL, 비트코인 주소, 조직 운영과 관련된 논의 등이 포함되었습니다.
같은 해 3월, 우크라이나 보안 연구원은 Conti의 새로운 악성코드 소스코드를 추가로 유출했습니다. 이후 6월에는 Conti 랜섬웨어 그룹의 Tor 사이트가 오프라인으로 전환되며 사실상 그룹의 활동이 종료된 것으로 보입니다.

(4) 이번 유출로 인해 랜섬웨어 그룹에 미칠 영향

Blask Basta 랜섬웨어 그룹의 내부 채팅 로그 유출은 조직 내 신뢰 붕괴, 법 집행 기관의 수사 강화, 협력 네트워크 붕괴 등으로 이어질 수 있습니다. 특히 유출된 채팅 로그에 피해 기업 목록, 공격 전략, 내부 운영 방식 등이 공개되면서 법 집행 기관은 이를 활용하여 그룹의 핵심 인물을 추적할 가능성이 높아졌습니다. 이번 사건은 Conti Ransomware 그룹의 유출 사건과 유사하기 때문에 Black Basta Ransomware 그룹도 마찬가지로 활동이 종료되거나 재편될 가능성이 있습니다. 이번 유출은 랜섬웨어 생태계 전반에 걸쳐 보안 강화 및 내부 정보 보호에 대한 경각심을 높이는 계기가 될 것으로 보입니다.

목록