영국 국립범죄수사국
적어도 2019년부터 여러 가명 뒤에 숨어 있는 한 그림자 인물은 그와 그의 동료들이 해킹한 수천 명의 피해자로부터 수백만 달러를 갈취한 것에 대해 공개적으로 찬사를 보냈습니다. 이제 처음으로 국제 법집행팀이 “LockBitSupp”의 정체를 밝혀냈으며 그를 체포하기 위해 현상금 1천만 달러가 책정되었습니다.
에 기소 화요일 공개된 미국 연방 검찰은 31세 러시아 국적의 드미트리 유리예비치 코로셰프(Dmitry Yuryevich Khorshev)라는 화려한 인물의 가면을 공개했습니다. 검찰은 코로셰프와 그의 부하들이 가장 많은 랜섬웨어 그룹 중 하나인 LockBit을 이끄는 5년 동안 약 2,500명의 피해자로부터 5억 달러를 강탈했으며 그 중 약 1,800명이 미국에 있었다고 밝혔습니다. 그가 삭감한 수익은 약 1억 달러에 달하는 것으로 알려졌다.
수십억 달러의 피해
“LockBit 공격은 몸값 지불과 요구 외에도 피해자의 운영을 심각하게 방해하여 사고 대응 및 복구와 관련된 수익과 비용 손실을 초래했습니다.”라고 연방 검찰은 썼습니다. “이러한 손실을 포함하면 LockBit은 전 세계적으로 총 수십억 달러에 달하는 피해를 입혔습니다. 더욱이, Khoroshev와 그의 LockBit 제휴자들이 훔친 데이터(매우 민감한 조직 및 개인 정보 포함)는 Khoroshev와 그의 공모자들의 거짓 약속에도 불구하고 안전하지 않고 영구적으로 손상되었습니다.”
기소장은 러시아 국민에게 컴퓨터와 관련된 사기, 강탈 및 관련 활동을 저지른 음모 1건, 전신 사기를 저지른 음모 1건, 보호되는 컴퓨터에 대한 고의적 손상 8건, 관련 강탈 8건의 혐의로 기소했습니다. 보호 대상 컴퓨터의 기밀 정보에 대한 내용, 보호 대상 컴퓨터 손상과 관련된 강탈 행위 8건 등이 있습니다. 유죄가 선고될 경우 코로셰프는 최대 185년의 징역형을 받게 된다.
기소에 더해 미국 재무부 관리들은 영국 및 호주 관계자와 함께 코로셰프에 대한 제재 조치를 발표했습니다. 무엇보다도, 미국의 제재 LockBit 그룹에 지불을 하거나 이를 용이하게 하는 미국인에게 공무원이 민사 처벌을 부과할 수 있도록 허용합니다. 미국 국무부는 또한 코로셰프의 체포 및/또는 유죄 판결로 이어지는 모든 정보에 대해 천만 달러의 보상을 발표했습니다.
LockBit 뿌리 뽑기
화요일의 조치는 미국 및 기타 10개국의 법 집행 기관이 조치를 취한 지 11주 만에 나온 것입니다. 큰일을 쳤다 LockBit 회원이 랜섬웨어 서비스 기업을 운영하는 데 사용하는 인프라에 타격을 입혔습니다. 연방 당국이 LockBit의 이름과 부끄러운 피해자들이 암호로 해시된 비밀번호를 저장하는 Linux 파일인 /etc/shadow를 제어했다고 밝힌 다크 웹 사이트에 게시한 이미지입니다. Linux에서 가장 보안에 민감한 파일 중 하나인 이 파일은 최고 수준의 시스템 권한인 루트를 가진 사용자만 액세스할 수 있습니다.
지난 2월 당국은 네덜란드, 독일, 핀란드, 프랑스, 스위스, 호주, 미국, 영국에 위치한 LockBit 관련 계정 14,000개와 서버 34개에 대한 통제권을 압수했다고 밝혔습니다. 폴란드와 우크라이나에서는 록비트 용의자 2명이 체포됐고 5건의 기소와 3건의 체포영장이 발부됐다. 당국은 또한 랜섬웨어 활동과 관련된 200개의 암호화폐 계정을 동결했습니다. 화요일 영국 국립범죄수사국(National Crime Agency) 말했다 활성 LockBit 계열사 수는 Operation Cronos라는 2월 조치 이후 114개에서 69개로 감소했습니다.
3월 중순, 캐나다 온타리오주에서 LockBit에서 근무한 혐의로 유죄 판결을 받은 남성이 4년의 징역형을 선고 받았습니다. 선고 당시 33세였던 미하일 바실리예프(Mikhail Vasiliev)는 2022년 11월 체포되어 보호되는 컴퓨터를 랜섬웨어로 감염시키고 피해자에게 몸값을 요구한 혐의로 기소되었습니다. 그는 지난 2월 사이버 갈취, 장난, 무기 혐의 등 8건에 대해 유죄를 인정했습니다.
Khoroshev의 LockBitSupp 분신의 실제 정체성은 수년 동안 뜨거운 관심을 받아 왔습니다. LockBitSupp은 러시아어를 사용하는 해킹 포럼에 자주 게시물을 올리며 익명성을 바탕으로 자신의 작업에 대한 기량과 통찰력을 자랑했습니다. 한때 그는 자신의 신원을 공개하는 사람에게 천만 달러의 보상을 약속했습니다. 2월의 작전으로 LockBit 인프라의 대부분이 무너진 후 검찰은 LockBitSupp이 누구인지 알고 있었지만 그의 이름을 밝히지는 못했다고 암시했습니다.
LockBit은 최소 2019년부터 운영되었으며 과거에는 “ABCD”라는 이름으로도 알려져 있었습니다. 이 그룹의 악성 코드는 창립 후 3년 이내에 가장 널리 유포되는 랜섬웨어가 되었습니다. 대부분의 다른 경쟁업체와 마찬가지로 LockBit은 서비스형 랜섬웨어(ransomware-as-a-service)라는 방식으로 운영되어 실제 해킹을 수행하는 데 이를 사용하는 계열사에 소프트웨어와 인프라를 제공합니다. 그런 다음 LockBit과 계열사는 결과 수익을 나눕니다.
Khorashev의 나이를 수정하기 위해 스토리가 업데이트되었습니다. 처음에 국무부는 그의 생년월일이 1973년 4월 17일이라고 밝혔습니다. 나중에 국무부는 1993년 4월 17일이라고 밝혔습니다.
