미국 국무부가 190억 원의 현상금을 걸 만큼 악명 높은 랜섬웨어 갱단 콘티가 갑자기 운영을 중단했다. 자신들의 랜섬웨어 암호기의 소스코드가 외부로 유출된 후, 콘티 브랜드가 회복하기 힘든 타격을 받았다고 판단한 것으로 보인다. 콘티가 러시아-우크라이나 전쟁에서 러시아 편에 서면서 적을 만들 것이 결정적인 발단이 됐다.
그렇다고 콘티 조직원들이 사이버범죄에서 손을 떼는 것은 아니다. 콘티 멤버들은 블랙캣, 하이브, 헬로키티 등 보다 작은 랜섬웨어 조직으로 자리를 옮겨 침투, 협상, 운영 등의 노하우를 전수하는 식으로 활동을 계속할 것으로 보인다.
19일(현지시간) 사이버보안 전문 외신 블리핑컴퓨터는 랜섬웨어 갱단 콘티가 공식적으로 운영을 중단했다고 보도했다.
보도에 따르면 그룹이 운영해 온 인프라는 오프라인 상태가 됐고, 콘티 팀의 리더들도 "콘티라는 브랜드가 더 이상 존재하지 않는다"고 인정한 것으로 알려졌다.
콘티의 운영 중단 소식은 같은 날 보안 업체 어드밴스드인텔의 옐리세이 보그슬랍스키(Yelisey Boguslavskiy) 연구원이 자신의 트위터를 통해 처음 공개했다.
그는 "오늘 콘티 랜섬웨어의 (내부) 공식 웹사이트가 폐쇄됐다"며 "악명 높은 범죄그룹이 끝났다"고 했다.
보그슬랍스키는 블리핑컴퓨터에 내부 토르 관리자 패널이 오프라인 상태인 것을 확인했다고 했다. 현재 콘티가 대외적으로 몸값 현상에 사용하는 웹사이트인 '콘티 뉴스(Conti News)는 아직 온라인 상태지만, 실제 콘티 멤버들이 협상을 수행하고 뉴스를 퍼블리시 하는 데 사용하는 토르 어드민은 작동을 멈췄다는 설명이다.
■자체 암호기 운영 중단 후 더 작은 랜섬웨어 조직 합류...일종의 파트너십 관계
콘티는 현재 코스타리카 행정 시스템에 대한 공격을 진행하고 있다. 지난달 12일 시작된 공격으로 코스타리카의 27개 국가 기관이 콘티 랜섬웨어의 영향을 받았다. 세금시스템, 공무원 급여 시스템 등이 줄줄이 마비돼, 국가 비상사태를 선포한 상황이다.
이런 와중에 콘티가 갑자기 조직 운영을 중단한 것은 의아하게 느껴진다. 이에 대해 보그슬랍스키는 콘티 멤버들은 천천히 좀 더 작은 랜섬웨어 조직으로 이동하기 위해 코스타리카에 대한 공개적인 공격을 수행했다는 의견을 제시했다. 아직 콘티 조직이 운영되는 것처럼 보이게 한 뒤 조용히 해산을 준비했다는 주장이다.
어드밴드스인텔이 곧 발표할 보고서에도 "콘티가 몸값 대신 홍보의 목적으로 코스타리카에 대한 공격을 수행했고, 콘티 지도부가 내부적에 이 같은 아젠다를 선언했다"는 내용이 포함됐다고 보도는 전했다.
콘티라는 조직명은 없어지지만, 사이버범죄 조직원들은 앞으로 다른 소규모 조직에 합류에 범죄 행위를 지속할 것이라고 보그슬랍스키는 전망했다.
그는 "콘티가 다른 대형 랜섬웨어 그룹으로 리브랜딩하는 대신, 경영진들이 다른 소규모 랜섬웨어 집단과 공격 수행을 위한 파트너십을 맺는 방식으로 전환할 것"이라고 했다.
또 "이렇게 되면 콘티 신디케이트(공동판매 기관과 가맹을 두고 운영되는 카르텔)는 더 작은 셀로 분할해, 이동성이 높아지고 법집행기관을 더 잘 회피할 수 있게 되는 효과가 있을 것"이라고 전망했다.
콘티는 이미 헬로키티(HelloKitty), 아보스로커(AvosLocker), 하이브(Hive), 블랙캣(BlackCat), 블랙바이트(BlackByte) 등 잘 알려진 랜섬웨어 집단과 파트너십을 맺은 것으로 보인다는 내용도 어드밴스드인텔 보고서에 포함됐다.
즉, 협상가, 인텔 분석가, 침투 테스터, 개발자 등 기존 콘티 구성원들은 이제 다른 랜섬웨어 작업에 흩어져서 역량을 지원하는 형태로 활동하게 된다. 다른 랜섬웨어 암호화기와 협상 사이트를 사용하지만, 이들은 여전히 더 큰 콘티 사이버범죄 신디케이트의 일부로 봐야 한다.
■"콘티, 러시아-우크라이나 침공 지지 후 위기 시작"
그렇다면 콘티는 왜 활동 형태를 변경한 것일까.
콘티는 2020년 여름 전신인 류크(Ryuk) 랜섬웨어를 계승해 시작했다. 오클라오하주의 두 번째로 큰 도시 털사, 브로워드 카운티 공립학교, 어드밴텍 등에 대한 공격으로 악명을 높여갔고, 아일랜드 의료시스템을 공격한 사건 이후 전 세계 법 집행 기관의 표적이 됐다.
미국 국무부는 최근 콘티를 잡기 위해 최대 1천500만 달러(약 191억 원)의 현상금을 내걸기도 했다. 미국연방수사국(FBI)은 콘티 피해자가 1천 곳 이상되고, 이들이 지불한 랜섬웨어 몸값이 총 1억5천만 달러(약 1천913억 원)에 이를 것으로 추정하고 있다.
관련기사
- 美국무부, 랜섬웨어 그룹 콘티에 현상금 190억원 걸었다2022.05.09
- "지난해 전 세계 76% 기업이 랜섬웨어 공격받았다"2022.03.22
- 카세야 랜섬웨어 해커, 美 송환...최대 징역 115년2022.03.14
- 과기정통부, 랜섬웨어 주의보 발령..."1월에만 19건 신고"2022.02.09
하지만, 콘티를 무너뜨린 것은 세계 법 집행 기관의 추적이 아니었다. 러시아의 우크라이나 침공으로 발발한 전쟁에서, 콘티가 러시아의 편에 서면서 조직의 위기가 시작됐다. 콘티의 러시아 지지 선언 이후 한 우크라이나 보안 연구자가 콘티 랜섬웨어 조직원 간의 내부 대화와 '콘티 랜섬웨어 암호기'의 소스코드를 유출한 것이다. 소스코드 유출 후 콘티 랜섬웨어 암호기는 러시아 기업에 대한 공격에 사용되기도 했다.
블리핑컴퓨터는 "콘티의 브랜드 변경은 놀라운 일이 아니다"며 "콘티가 러시아의 우크라이나 침공을 지지한 이후, 콘티 브랜드는 믿을 수 없을 정도로 손상됐고 운명은 정해졌다"고 분석했다.