미국 법무부가 1월 26일(현지시각) 전 세계 80여 개국의 병원, 학교, 금융 기관 등을 대상으로 랜섬웨어 공격을 벌여 막대한 돈을 훔친 해킹 네트워크 ‘하이브(Hive)’를 폐쇄시켰다고 발표했다.
메릭 갈런드 법무부 장관은 이날 워싱턴DC에서 열린 법무부 기자회견을 통해 "어젯밤 법무부는 미국을 비롯해 전 세계 국가에서 수억 달러를 갈취하거나 갈취하려고 시도했던 국제적인 랜섬웨어 네트워크를 해체했다"고 말했다.
리사 모나코 법무부 차관은 "우리는 해커들을 해킹했다. 가용한 모든 수단을 사용해서 사이버 범죄에 계속 반격을 가할 것이며 사이버상 위협을 줄이는 노력에 피해자들을 중심에 놓을 것"이라고 강조했다.
이번 미 법무부의 발표와 관련해 구글 클라우드 맨디언트 위협 인텔리전스 총괄 존 헐트퀴스트(John Hultquist)는 “하이브 네트워크의 폐쇄가 전반적인 랜섬웨어 공격을 현저하게 감소시키지는 않겠지만, 의료 시스템을 공격해 생명을 위험에 빠뜨리기도 했던 하이브에는 분명한 타격이었을 것이다”라고 설명했다.
이어 “안타깝게도 랜섬웨어 문제의 중심에 있는 범죄 시장은 하이브의 경쟁사들이 하이브 폐쇄 이후에도 이를 대신해 유사한 서비스를 제공할 것이라고 보장한다. 하지만 이들도 이번 미 법무부의 발표 이후 자신들의 랜섬웨어가 병원을 타깃으로 하는 공격에 사용되는 데 있어 전보다 신중을 가할 것으로 예측된다”라고 말했다.
구글 클라우드 맨디언트 수석 매니저 킴벌리 구디(Kimberly Goody)는 "지난해 하이브는 맨디언트가 직접 관찰한 사고 대응 작업에서 가장 많이 확산된 랜섬웨어 계열로, 맨디언트가 대응한 랜섬웨어 침투의 15% 이상을 차지했다. 하이브의 피해 조직은 여러 국가에 걸쳐 있었지만 이 중 미국이 가장 큰 피해를 입었으며 피해를 입은 공공 기관의 50%도 미국 기반이었다”라고 말했다.
이어 “이 랜섬웨어 공격의 배후에 있는 공격자들은 2022년 중반부터 러스트(Rust)로 랜섬웨어를 재작성하며 지속적으로 개발을 이어 나갔다. 이 과정은 분석을 방해하고 탐지를 회피하기 위해 진행된 것으로 추측된다. 하이브 랜섬웨어의 등장 이후 여러 공격자가 해당 랜섬웨어를 사용했지만, 맨디언트 데이터에 의하면 지난 1년 동안 이를 가장 많이 사용한 그룹은 UNC2727이었다. 이들은 주로 병원 등 의료 분야를 노려왔다”고 설명했다.
물론 하이브가 UNC2727 툴킷의 유일한 랜섬웨어는 아니었다. 맨디언트는 과거 이들이 콘티(CONTI)와 마운트락커(MOUNTLOCKER)를 포함한 다른 랜섬웨어를 사용하는 것도 확인한 바 있다. 이는 몇몇 공격자들이 광범위한 랜섬웨어 생태계 내에서 다른 랜섬웨어로 쉽게 전환할 수 있는 관계를 이미 형성했음을 보여주는 사례다”고 덧붙였다.
한편, 하이브는 2021년 6월부터 전 세계의 1500여 피해자를 상대로 총 1억 달러 이상의 돈을 받아온 것으로 알려진다.
