상세 컨텐츠

본문 제목

BlackMatter 랜섬웨어, 운영 중단 후 피해자를 LockBit으로 옮겨

국내외 보안동향

by 알약4 2021. 11. 4. 14:00

본문

BlackMatter ransomware moves victims to LockBit after shutdown

 

BlackMatter 랜섬웨어 운영이 중단됨에 따라 기존 협력 파트너들이 지속적인 강탈을 위해 피해자를 경쟁작인 LockBit 랜섬웨어 사이트로 옮기고 있는 것으로 나타났습니다.

 

지난 3, BlackMatter 랜섬웨어 그룹의 멤버들이 실종되고 법 집행 기관의 압박이 높아짐에 따라 운영을 중단한다는 뉴스가 발행되었습니다.

 

랜섬웨어 운영자는 협력 파트너가 피해자를 계속해서 강탈할 수 있도록 기존 감염 건을 위한 복호화 키를 받을 수 있도록 허용하고 있습니다.

 

BleepingComputerBlackMatter의 인프라가 아직 활성화되어 있는 동안 협력 파트너가 기존 피해자를 LockBit 랜섬웨어의 협상 사이트로 옮기고 있다는 사실을 알게 되었습니다.

 

협력 파트너는 기존 BlackMatter의 협상 채팅에서 피해자에게 새로운 협상 페이지가 설정된 LockBit Tor 사이트 링크를 제공했습니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/blackmatter-ransomware-moves-victims-to-lockbit-after-shutdown/>

<피해자를 LockBit 사이트로 이전 시키는 BlackMatter의 협력 파트너>

 

 

 

BlackMatter의 협력 파트너는 이 LockBit 협상 페이지에서 피해자와 랜섬웨어 협상을 계속합니다.

 

BlackMatter는 현재도 계속해서 운영 중단 작업을 진행 중입니다. 오늘은 러시아어를 사용하는 해킹 포럼에서 그들의 흔적을 삭제했습니다.

 

보안 연구원인 pancak3lullz BlackMatter의 운영 중단 관련 활동을 추적하여 공격자 그룹이 금일 Exploit 해킹 포럼에서 4비트코인(~$250,000)을 인출하고 계정을 비활성화했음을 보여주었습니다.

 

 

<이미지 출처 : https://twitter.com/pancak3lullz/status/1455899119797645314>

<해킹 포럼에서 계정 비활성화>

 

 

또한 이들은 포럼에서 기존 게시물을 편집하고 운영자에게 삭제를 요청했습니다.

 

 

<이미지 출처 : https://twitter.com/pancak3lullz/status/1455899397997408256>

<포럼의 게시물을 삭제하는 BlackMatter>

 

 

REvil BlackMatter가 운영을 중단하면서, LockBit이 현재 활동하는 가장 규모가 크고 성공적인 랜섬웨어 작업 중 하나가 되었습니다.

 

'LockbitSupp'로 알려진 LockBit 대표는 기존 랜섬웨어의 운영이 중단됨에 따라 새로운 파트너를 모집하기 위해 지속적으로 전략을 변경하는 매우 요령있는 공격자로 알려졌습니다.

 

BlackMatter는 브랜드를 변경하고 새로운 랜섬웨어로 돌아올 가능성이 높지만, LockBit과의 파트너십은 경험이 많은 파트너를 잃게 되기 때문에 장기적으로 피해를 입을 수 있습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/blackmatter-ransomware-moves-victims-to-lockbit-after-shutdown/

https://twitter.com/pancak3lullz/status/1455899397997408256

관련글 더보기

댓글 영역