□ 개요
미 법무부는 26일(현지시간) 병원, 학교, 금융 기업, 중요 인프라를 포함한 전 세계 80개국 이상에서 1,500명 이상의 피해자를 대상으로 한 Hive 랜섬웨어 그룹을 폐쇄했다고 밝혔다.
[그림 1] Hive 랜섬웨어 Tor 웹 사이트 폐쇄
Europol은 독일, 네덜란드, 미국을 지원하여 국제 공조 수사를 진행하였으며 이번 수사에 총 13개국의 당국이 참여했다. 법 집행 기관은 1천 개의 Hive 랜섬웨어 암호 해독 키를 확보하여 이전 피해자에게 제공하였으며 결과적으로 약 1억 3천만 달러의 몸값 지불을 방지할 수 있었다.
국제 공조 수사에 참여한 13개국의 당국은 다음과 같다.
|
국가 |
법 집행 기관 |
|
Canada |
Royal Canadian Mounted Police (RCMP) & Peel Regional Police |
|
France |
National Police (Police Nationale) |
|
Germany |
Federal Criminal Police Office (Bundeskriminalamt) and Police Headquarters Reutlingen – CID Esslingen (Polizei BW) |
|
Ireland |
National Police (An Garda Síochána) |
|
Lithuania |
Criminal Police Bureau (Kriminalinės Policijos Biuras) |
|
Netherlands |
National Police (Politie) |
|
Norway |
National Police (Politiet) |
|
Portugal |
Judicial Police (Polícia Judiciária) |
|
Romania |
Romanian Police (Poliția Română – DCCO) |
|
Spain |
Spanish Police (Policía Nacional) |
|
Sweden |
Swedish Police (Polisen) |
|
United Kingdom |
National Crime Agency |
|
USA |
United States Secret Service, Federal Bureau of Investigations |
[표 1] 수사 당국
Hive 그룹이 운영했던 다크웹의 FQDN은 아래와 같다. Hive 랜섬웨어 그룹의 Tor 도메인이 법 집행기관에 의해 압수된 것으로 확인되었다.
|
FQDN |
|
Hivecust6vhekztbqgdnkks64ucehqacge3dij3gyrrpdp57zoq3ooqd.onion Hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion Hiveapi4nyabjdfz2hxdsr7otrcv6zq6m4rk5i2w7j64lrtny4b7vjad.onion |
□ Hive 랜섬웨어 그룹 검거
FBI는 Hive 랜섬웨어 조직원의 이메일 주소를 사용하여 임대한 캘리포니아 호스팅 제공업체에서 서버 2대와 가상 사설 서버 1대에 대한 접근 권한을 얻었다. 또한 공조 수사를 통해 네덜란드 경찰은 네덜란드에서 호스팅되는 두 개의 백업 전용 서버에도 접근할 수 있었다.
접근을 통해 법 집행 기관은 서버가 데이터 유출 사이트, 협상 사이트, 운영자 및 계열사가 사용하는 웹 패널로 동작하고 있음을 확인했다.
사건 진술서에는 “FBI가 암호 해독키 외에도 Target Server2에서 발견된 데이터베이스를 조사했을 때 Hive 그룹 통신 기록, 악성코드 파일 해시값, Hive 그룹과 연관된 250개 계열사에 대한 정보 및 피해자 정보를 통해 이전에 획득한 정보와 일치하는 정보를 발견했다.”라고 적혀있다.
미 법무부 차관 Lisa Monaco는 기자들에게 “합법적인 수단으로 Hive 랜섬웨어 그룹을 해킹했다.”고 말했다.
□ Hive 랜섬웨어
Hive 랜섬웨어 그룹은 2021년 6월 시작되어 RaaS(Ransomware-as-a-Service)를 제공하며, 피싱이나 인터넷에 노출된 취약한 장치, 계정 정보구입을 통해 조직을 침해하는 것으로 알려져 있다.
공격자들은 기업 네트워크 접근 권한을 얻으면 암호화되지 않은 데이터를 훔치고 다른 시스템으로 내부 이동을 한다. 또한 Windows 도메인 컨트롤러에 대한 관리자 접근 권한을 획득하면 네트워크 전체에 랜섬웨어를 배포하여 모든 장치를 암호화한다.
2022년 11월, FBI는 Hive가 전 세계 1,500개 이상의 기업에서 약 1억 달러를 벌어들였으며 그 중 다수는 의료 분야에 있다고 밝혔다.
어제(26일) 국무부는 트위터를 통해 “Hive나 미국의 중요 인프라를 타겟으로 하는 공격자들이 해외 정부와 연결하려는 정황을 포착한다면 Tortip, Twitter, Telegram, WhatsApp 등을 통해 정보 전달을 부탁한다.” 라고 말했다. 보상 금액은 최대 1000만 달러(한화 약 120억)에 달한다.
[그림 2] 미 국무부 트윗 본문
□ 참고 자료
[1] Europol, Cybercriminals stung as Hive infrastructure shut down
[2] DOJ, U.S. Department of Justice Disrupts Hive Ransomware Variant
https://www.justice.gov/opa/press-release/file/1564286/download
[3] BleepingComputer, Hive ransomware disrupted after FBI hacks gang's systems
[4] CNN, FBI seizes website used by notorious ransomware gang
https://edition.cnn.com/2023/01/26/politics/fbi-ransomware-gang-website/index.html
보안관제센터 MIR Team