[데이터넷] 미국 법무부가 26일(현지시각) 랜섬웨어 그룹 ‘하이브(Hive)’를 폐쇄시키는데 성공했다고 발표했다. 하이브는 2021년부터 병원, 학교, 금융 회사 및 중요 인프라를 포함, 전 세계 80개국 이상에서 1500명 이상의 피해자를 발생시켰으며, 1억달러 이상 수익을 얻어냈다. 이들의 공격을 당한 한 병원은 환자 치료에 심각한 피해를 입었으며, 공격을 당한 후에는 새로운 환자를 받을 수 없었다.

하이브는 관리자, 계열사가 포함된 RaaS를 사용했으며, 관리자가 랜섬웨어 변종을 개발하고, 운영할 수 있는 인터페이스를 만든 후 제휴사를 모집해 피해자에게 랜섬웨어를 배포한다. 계열사는 대상을 식별하고 랜섬웨어 악성코드를 배포해 피해자를 공격하고 몸값을 받아낸다.

하이브는 데이터 탈취 후 랜섬웨어 공격을 하는 이중갈취 공격을벌였으며, 피해자가 돈을 지불하면 제휴사와 관리자는 80:20의 비율로 수익을 나눈다. 그리고 하이브 리크(Hive Leak) 사이트에 돈을 내지 않는 피해자들의 데이터를 공개했다.

미국 CISA에 따르면 하이브 계열사는 RDP, VPN, 기타 여러 가지 방법을 통해 단일 요소 로그인을 통해 피해자 네트워크에 대한 초기 액세스 권한을 얻었다. 원격 네트워크 연결 프로토콜 취약점 악용한 악성 첨부 파일이 포함된 피싱 이메일을 보내 초기 치무를 시작한다.

미국 FBI는 하이브 공격 인프라에 침투해 암호해독키를 캡처, 전 세계 피해자에게 제공했으며, 1억3000만달러에 달하는 몸값을 지불하지 않아도 되도록 했다. FBI는 지난해 300개 이상 암호키를 제공했으며, 이전에는 1000개 이상 암호해독 키를 배포했다. 또 FBI는 또 독일 연방 형사 경찰 및 로이틀링겐 경찰 본부(CID Esslingen), 네덜란드 국립 하이테크 범죄 수사대(National High Tech Crime Unit)와 협력해 하이브가 사용하는 서버와 웹 사이트를 장악하고 공격을 중단시키도록 했다.

김선애 기자 다른기사 보기