러시아 랜섬웨어 그룹인 REvil(Sodinokibi), 2개월 만에 온라인 상태로 변경돼

 

 

Russian Ransomware Group REvil Back Online After 2-Month Hiatus

 

서비스형 랜섬웨어(RaaS)인 REvil의 운영자가 지난 7월 4일 Kaseya를 노린 공격 이후 2개월 간 활동을 중단한 후 복귀했습니다.

 

해당 그룹의 데이터 유출 사이트인 Happy Blog와 지불/협상 사이트를 포함한 다크웹 포털 두 개가 다시 온라인에 나타났으며, 가장 최근 피해자는 7월 8일에 추가되었습니다. 이는 7월 13일 사이트가 사라지기 5일 전입니다.

 

REvil이 활동을 시작했는지 또는 새로운 공격을 시작했는지는 아직까지 명확히 밝혀지지 않았습니다.

 

Emsisoft의 위협 연구원인 Brett Callow는 지난 화요일 트위터를 통해 아래와 같이 밝혔습니다.

 

"불행히도, Happy Blog가 다시 온라인 상태가 되었습니다."

 

<이미지 출처: https://twitter.com/ddd1ms/status/1435292310024204298>

 

 

이 개발은 러시아에 기반을 둔 사이버 범죄 조직이 Kaseya VSA 원격 관리 소프트웨어의 제로데이 취약점을 악용하여 약 60개의 MSP(Managed Service Provider) 및 1,500개 이상의 고객 비즈니스를 암호화한 Kaseya를 노린 대규모 공급망 랜섬웨어 공격을 실행한 지 약 2달이 지난 후 이루어졌습니다.

 

REvil은 지난 5월 말 세계 최대 육류 생산업체인 JBS에 대한 공격을 주도했으며, 회사는 이 사고에서 회복하기 위해 랜섬머니로 1,100만 달러를 지불해야 했습니다.

 

글로벌 랜섬웨어 위기를 계기로 국제적인 조사가 강화된 후, 해당 그룹은 다크웹 인프라를 중단해 관심을 분산시키고 새로운 브랜드로 변경하기 위해 일시적으로 운영을 중단했을 가능성이 있다고 추측되었습니다.

 

Emsisoft에서 집계한 통계에 따르면, Sodinokibi로도 알려진 REvil은 2021년 1분기에 5번째로 가장 많이 신고된 랜섬웨어 변종으로 나타났습니다.

 

 

 

 

 

출처:

https://thehackernews.com/2021/09/russian-ransomware-group-revil-back.html