오늘, Grief 랜섬웨어 갱단은 NRA(National Rifle Association)를 공격한 증거로써 미국 세금 정보와 투자 금액이 포함된 Excel 스프레드시트의 스크린샷을 공개하였습니다. 이와 함께 NRA 보조금 신청서가 포함되어 있다고 주장하는 'National Grants.zip'이라는 제목의 2.7MB 아카이브도 유출하면서 데이터 유출 사이트에 NRA를 새로운 희생자로 추가하였습니다.

[그림 1] Grief 랜섬웨어 갱단 데이터 유출 사이트 (출처 : www.zdnet.com)

NRA는 이러한 논란에 대해 트위터를 통해 아래와 같이 입장을 표명하였습니다.

"NRA는 물리적 또는 전자적 보안과 관련된 문제에 대해 논의하지 않습니다. 그러나 NRA는 회원, 기부자 및 운영에 관한 정보를 보호하기 위해 특별한 조치를 취하고 있으며 이를 위해 경계하고 있습니다." - Andrew Arulanandam, NRA 홍보 담당 이사

Grief 랜섬웨어 갱단이 NRA의 데이터베이스에서 탈취한 13개의 파일이 있다고 주장한 이후, 사이버 보안 연구원들은 공개된 문서에 대한 분석을 진행하였으며, 분석 결과 최근 NRA 이사회 회의록과 보조금 관련 문서가 포함되었음을 확인하였습니다.

이에 따라, NRA는 데이터 유출 압박 속에서 랜섬웨어 몸값 지불과 관련하여 어려운 결정에 직면하게 될 것으로 보입니다.

이러한 상황과 관련하여 Comparitech의 개인 정보 보호 옹호자인 Paul Bischoff는 ‘NRA 회원 개개인이 발생할 수 있는 모든 위협으로부터 자신을 보호하기 위한 조치를 취해야 한다’고 말하면서, ‘NRA가 몸값을 지불하더라도 Grief가 도난당한 데이터를 파괴할 것이라는 보장이 없다’는 우려를 표명하였습니다.

Evil Corp와 연관된 것으로 알려진 Grief 랜섬웨어 갱단

Grief 랜섬웨어 갱단은 Evil Corp로 알려진 러시아 해킹 그룹과 관련된 것으로 여겨집니다.

2009년부터 활동해 온 Evil Corp는 온라인 뱅킹 자격 증명을 훔치고 돈을 훔치는 Dridex 트로이 목마 배포를 포함하여 수많은 악성 사이버 활동에 관여해왔습니다. 이후 2017년 BitPaymer라는 랜섬웨어를 출시하였고 이후 2019년 DoppelPaymer 랜섬웨어로 변형되었습니다.

수년간 미국을 대상으로 공격을 수행한 Evil Corp에 대항하여, 미국 법무부는 Evil Corp의 구성원을 기소하고 해외 자산통제국(OFAC) 제재 목록에 해킹 그룹을 추가하면서, 랜섬웨어 피해자가 제재 목록에 있는 갱단에 몸값을 지불할 경우 민사 처벌을 받을 수 있다고 경고하였습니다.

이에 따라 Evil Corp는 미국의 제재를 피하기 위해 새로운 이름의 랜섬웨어 변종을 정기적으로 출시해왔으며, 이러한 랜섬웨어로는 WastedLocker, Hades, Phoenix CryptoLocker, PayLoadBin, Macaw Locker 등이 있습니다.

원래의 랜섬웨어인 DoppelPaymer가 2021년 5월 데이터 유출 사이트에 새로운 희생자 목록을 표시하는 것을 중단한지 한달 뒤, Grief 랜섬웨어 갱이 등장하였으며, 보안연구원들이 이러한 상황과 코드 유사성을 기반으로 Grief 랜섬웨어가 DoppelPaymer 랜섬웨어의 브랜드 변형임을 주장함에 따라, Grief 랜섬웨어 갱단은 Evil Corp 해킹 그룹과 관련된 것으로 여겨지고 있습니다.

[출처]
https://www.zdnet.com/article/nra-responds-to-reports-of-grief-ransomware-attack/
https://www.bleepingcomputer.com/news/security/nra-no-comment-on-russian-ransomware-gang-attack-claims/

보안관제센터 Team MIR