Sodinokibi 해커들, 트럼프 정보 구매자 확보했다고 밝혀

REvil Ransomware found buyer for Trump data, now targeting Madonna

Sodinokibi 해커 그룹이 미 대통령 도널드 트럼프와 관련된 정보가 포함된 문서의 구매자가 나타났으며, 가수 마돈나와 관련된 정보 경매를 준비 중이라고 주장했습니다. 

이들은 다수의 유명 인사를 고객으로 보유한 로펌 GSMLaw(Grubman Shire Meiselas & Sacks) 네트워크를 해킹해 가치 있다고 판단되는 모든 자료를 탈취하고 데이터 암호화 작업을 수행했습니다. 

Sodinokibi 그룹은 해당 기업과 협상 후 가장 무해하다고 판단되는 도널드 트럼프 관련 정보가 포함된 아카이브를 공개했습니다. 여기에는 160개 이상의 이메일이 포함됩니다. 

또한 수집한 고객 데이터의 경매를 매주 진행할 것이며, 돈을 지불하기만 하면 구매자에 대해서는 신경 쓰지 않을 것이라 밝혔습니다. 

또한 "미국 대통령에 대한 모든 데이터를 구매"할 사람이 나타났으며 제안한 금액에 만족합니다고 밝혔습니다. 

또한 데이터 사본을 삭제함으로써 구매자가 유일한 정보 소유자가 되도록 할 것임을 보장하며 구매자 정보에 대한 보안을 철저히 할 것이라고 덧붙였습니다.  

조사 결과, 도널드 트럼프 관련 데이터는 무해한 정보인 것으로 확인되었습니다. 

랜섬웨어 공격자들은 트럼프의 명성에 해를 입힐 것이라고 위협하고 있지만, 실제로는 위협적인 데이터를 소유하지 않은 것일 수도 있습니다. 

GSMLaw에 대한 위협을 계속하기 위해 Sodinokibi 해커들은 탈취한 마돈나 관련 파일을 경매할 계획이라 밝혔습니다. 

시작 가격은 백만 달러이며 이전과 동일한 규칙이 적용됩니다. 

REvil, Sodin 등의 이름으로도 알려진 Sodinokibi 해커 그룹은 재정적 동기를 가진 전문 해커 집단으로 악명 높은 그룹입니다. 

이들은 RaaS 형태로 랜섬웨어 사업을 운영하며 GandCrab 운영자들의 후속 형태로 더욱 적극적인 공격 활동을 벌이고 있습니다. 

GSMLaw와의 랜섬 협상을 하는 동안 이들이 엔터테인먼트 및 언론 산업의 VIP 관련 정보를 다량 보유하고 있습니다는 증거를 사이트에 개시했습니다. 

파일 복호화를 위한 랜섬 금액은 초기에는 2,100만 달러로 설정되었으나 피해자들이 지불을 거부하자 해커들은 뉴욕 기반의 로펌에서 탈취한 유명인 데이터를 공개했습니다고 위협했습니다. 

협상이 이루어진 지 10일 후, 해커들은 랜섬 금액을 2배로 증가시켰고 계약, 전화, 이메일, 개인 서신, NDA 등이 포함된 756GB 크기의 데이터를 공개하겠다고 협박했습니다. 

실제로 유명 가수인 레이디 가가에 대한 2.4GB 크기의 문서를 공개했고, 도널드 트럼프가 다음 타깃이 될 것이라 밝혔습니다. 

GSMLaw는 Sodinokibi 해커 그룹을 "테러리스트"라 칭하며, FBI와 전문가들을 통해 테러리스트와의 협상은 연방법에 위반되는 것이라고 밝혔습니다. 

FBI는 테러 조직 또는 국가 차원에서 해당 랜섬웨어를 유포한 것으로 판단되지 않는 한, FBI는 랜섬웨어를 범죄 문제로 취급할 방침이라고 전했습니다.

그리고 범죄자들에게 랜섬을 지불하지 않을 것을 권고하는 바이며 랜섬웨어 공격이 미칠 피해에 대해서도 잘 인식하고 있다고 덧붙였습니다. 

기업들은 주주, 고객, 직원을 보호하기 위해 해커들에게 랜섬을 지불할 가능성도 고려해야 하며, 기본적으로 해당 지역 FBI에 관련 내용을 신고할 것이 권고됩니다.

또한 FBI는 사용자들이 해커가 제안하는 랜섬을 지불하지 않을 것을 권고했습니다.

랜섬 지불은 해커들에게 공격을 지속하기 위한 동기 부여가 될 수 있으며 또 다른 피해자를 양산할 수 있습니다.

이는 심각한 추가 범죄로 이어질 수 있고 랜섬을 지불한다 해도 파일을 복구할 수 있다고 장담할 수 없습니다.

랜섬웨어 공격 예방을 위한 다계층의 보안을 설정하는 것이 최선의 방법입니다.

랜섬웨어 활동을 추적하는 사이버 보안 기업이 파일 복호화에 도움이 되는 경우도 종종 있습니다. 

모든 사이버 범죄자가 최고의 개발자가 아닐 수 있으며 악성코드의 코드 오류를 역이용해 랜섬을 지불하지 않고도 파일을 복구할 수 있습니다.

출처:

https://www.bleepingcomputer.com/news/security/revil-ransomware-found-buyer-for-trump-data-now-targeting-madonna/

https://pagesix.com/2020/05/14/la-law-firm-hackers-double-ransom-demand-threaten-donald-trump/