독일, “UNKN” 및 러시아 랜섬웨어 조직 REvil·GandCrab 수장 도크스

Source: Krebs on Security

위에 제공된 소스 링크 외에 번역할 텍스트가 포함되어 있지 않습니다. 번역을 원하는 본문을 알려주시면 한국어로 번역해 드리겠습니다.

Overview

핸들 “UNKN” 로 활동하며 초기 러시아 랜섬웨어 그룹 GandCrab 와 REvil 을 운영했던 수수께끼의 해커가 이제 이름과 얼굴을 드러냈습니다. 독일 당국에 따르면 31세 러시아인 다니일 막시모비치 슈추킨 이 두 사이버 범죄 조직을 이끌었으며 2019년부터 2021년 사이에 전국의 피해자들을 상대로 최소 130건의 컴퓨터 파괴 및 갈취 행위를 저질렀다고 합니다.

슈추킨은 독일 연방 형사 경찰청 (Bundeskriminalamt, BKA) 이 발표한 자문서에서 UNKN(일명 UNKNOWN) 으로 지명되었습니다. BKA는 슈추킨과 또 다른 러시아인, 43세 아나톨리 세르게예비치 크라프추크 가 두 자릿수 사이버 공격을 통해 거의 200만 유로 를 갈취했으며, 이로 인한 총 경제적 피해액은 3,500만 유로 를 초과했다고 밝혔습니다.

독일 BKA는 슈추킨이 전 세계적으로 운영되는 가장 큰 랜섬웨어 그룹 중 하나인 GandCrab 와 REvil 의 수장으로 활동했으며, 이 그룹이 이중 갈취 (해킹된 시스템을 해제하기 위한 키를 요구하는 첫 번째 지불과, 도난된 데이터를 공개하지 않겠다는 약속을 대가로 하는 별도 지불) 방식을 선구했다는 점을 강조했습니다.

슈추킨의 이름은 2023년 2월 미국 법무부가 REvil 랜섬웨어 조직의 수익과 연관된 다양한 암호화폐 계정을 압류하려는 신청서에 등장했습니다. 정부는 슈추킨과 연결된 디지털 지갑에 317,000달러 이상에 달하는 부당하게 얻은 암호화폐가 보관돼 있다고 밝혔습니다.

GandCrab

• GandCrab 랜섬웨어 제휴 프로그램은 2018년 1월에 처음 등장했으며, 대기업의 사용자 계정을 해킹하는 것만으로도 해커들에게 막대한 수익을 지급했습니다.
• 그 후 GandCrab 팀은 해당 접근 권한을 확대하려 시도했으며, 그 과정에서 종종 방대한 양의 민감한 내부 문서를 탈취했습니다.
• 악성코드 관리자는 GandCrab 코드에 다섯 차례의 주요 개정판을 배포했으며, 각 버전마다 새로운 기능과 버그 수정이 포함되어 보안 업체들의 대응을 방해했습니다.

2019년 5월 31일, GandCrab 팀은 피해자들로부터 20억 달러 이상을 갈취한 뒤 그룹을 해산한다는 발표를 했습니다. 그들의 작별 인사는 유명하게 다음과 같이 말했습니다:

“우리는 악행을 저지르고도 처벌받지 않을 수 있다는 살아있는 증거입니다.
우리는 1년 만에 평생을 벌 수 있다는 것을 증명했습니다.
우리는 자신의 자만심이 아니라 일반적인 입장을 통해 1위가 될 수 있음을 증명했습니다.”

Source: …

REvil

• REvil 랜섬웨어 제휴 프로그램은 GandCrab의 종말과 거의 동시에 등장했으며, UNKNOWN이라는 사용자가 러시아 사이버 범죄 포럼에 $1 백만을 에스크로에 예치했다고 발표하면서 본격적인 시작을 알렸다.
• 이 시점까지 많은 사이버 보안 전문가들은 REvil이 GandCrab의 재편성에 불과하다고 결론지었다.

UNKNOWN은 Recorded Future에 고용된 전 악성 해커 Dmitry Smilyanets와의 인터뷰에서도 윤리와 도덕에 얽매이지 않는 가난에서 부자로 올라가는 이야기를 전했다:

“어릴 적 나는 쓰레기 더미를 뒤지고 담배 꽁초를 피우곤 했다.
학교까지 한 방향으로 10 km를 걸었다. 같은 옷을 6개월 동안 입었다.
청년 시절, 공동 아파트에서 이틀, 심지어는 삼일 동안 먹지 못한 적도 있다.
이제 나는 백만장자다.”

Renee Dudley와 Daniel Golden이 저술한 The Ransomware Hunting Team에 따르면, UNKNOWN과 REvil은 상당한 수익을 재투자하여 성공을 높이고 정규 비즈니스의 관행을 모방했다. 저자들은 다음과 같이 적었다:

“실제 제조업체가 물류나 웹 디자인을 외부 업체에 맡기듯이, 랜섬웨어 개발자들도 점점 자신들의 영역을 넘어선 작업을 외주화하고, 대신 랜섬웨어 자체의 품질 향상에 집중했다.
고품질 랜섬웨어—많은 경우 사냥 팀조차 해독하지 못한—는 피해자들로부터 더 많고 높은 금액의 몸값을 받게 만들었다.
거대한 금액은 조직이 사업에 재투자할 수 있게 했으며, 더 많은 전문가를 고용하게 하고 성공 속도를 가속화했다.”

“범죄자들은 급성장하는 랜섬웨어 경제에 뛰어들기 위해 경쟁했다. 암시장의 부수 서비스 제공업체들은 다른 범죄 활동에서 전환하거나 새롭게 등장해 개발자들의 맞춤형 지원 수요를 충족시켰다.
GandCrab 같은 조직과 파트너십을 맺은 ‘암호화 제공자’들은 랜섬웨어가 일반 안티‑멀웨어 스캐너에 탐지되지 않도록 보장했다.
‘초기 접근 브로커’는 자격 증명을 탈취하고 대상 네트워크의 취약점을 찾아 이를 랜섬웨어 운영자와 제휴자에게 판매했다.
비트코인 ‘텀블러’는 세탁을 선호하는 공급업체로 사용하는 조직에게 할인을 제공했다.
일부 계약자는 어떤 조직과도 작업할 준비가 되어 있었고, 다른 일부는 독점 파트너십을 체결했다.”

REvil은 “대형 사냥꾼” 기계로 진화하여, 연 매출 $100 백만 이상인 조직과 관대한 사이버 보험을 가진 기업을 주 타깃으로 거액의 갈취금을 징수했다.

2021년 7월 4일 주말, 미국에서… REvil은 Kaseya를 해킹하고 갈취했으며, Kaseya는 1,500개 이상의 기업, 비영리 단체 및 정부 기관의 IT 운영을 담당하고 있었다. FBI는 Kaseya 해킹 이전에 이미 랜섬웨어 그룹의 서버에 침투했지만 당시 이를 공개하지 못했다고 발표했다. REvil은 그 핵심 침해와 FBI가 제공한 무료 복호화 키(지불하지 않거나 할 수 없는 피해자를 위한) 때문에 회복하지 못했다.

조사 세부 사항

Shchukin은 러시아 크라스노다르 출신이며 그곳에 거주하는 것으로 추정된다고 BKA가 밝혔습니다.

“지금까지의 조사 결과, 수배 중인 인물이 해외에 있을 가능성이 높으며, 추정컨대 러시아에 있을 것으로 보입니다,” 라고 BKA가 조언했습니다. “여행 행동을 배제할 수 없습니다.”

Shchukin을 UNKNOWN의 다양한 러시아 범죄 포럼 계정과 연결시키는 증거는 거의 없습니다. 그러나 사이버 인텔리전스 기업 Intel 471이 색인한 러시아 범죄 포럼을 검토한 결과, Shchukin과 **“Ger0in”**이라는 해커 정체성을 연결하는 자료가 많이 발견되었습니다. Ger0in은 대규모 봇넷을 운영하고 “installs”를 판매했으며, 이를 통해 다른 사이버 범죄자들이 선택한 악성코드를 한 번에 수천 대의 PC에 빠르게 배포할 수 있었습니다. Ger0in은 2010년에서 2011년 사이에만 활동했으며, 이는 UNKNOWN이 REvil 전면 인물로 등장하기 훨씬 이전의 일입니다.

BKA가 이미지 비교 사이트 Pimeyes에 공개한 머그샷을 검토한 결과, 2023년 생일 축하 행사에서 같은 고급 시계를 착용한 젊은 남성 다니엘과 일치하는 사진을 발견했습니다.

2023년 러시아 크라스노다르에서 열린 다니일 슈추킨 생일 파티 사진들.

이 글은 2026년 4월 5일 일요일 오후 10시 07분에 게시되었습니다.

카테고리:
A Little Sunshine • Ne’er‑Do‑Well News • Ransomware • Web Fraud 2.0

태그:
Anatoly Sergeevitsch Kravchuk • Daniel Golden • Daniil Maksimovich Shchukin • Dmitry Smilyanets • GandCrab • Ger0in • German Federal Criminal Police • Intel 471 • Recorded Future • Renee Dudley • rEvil • UNKN