2024년 10월 1일, 미국 재무부 외국자산통제국 (OFAC), 영국 외무부 개발국 (FCDO), 호주 외무무역부 (DFAT)는 Dridex 맬웨어 개발 및 배포를 담당하는 러시아 기반 사이버범죄 조직인 Evil Corp의 구성원을 동시에 지정했습니다. 미국 법무부는 또한 Evil Corp 구성원 한 명을 미국 내 피해자를 표적으로 삼은 BitPaymer 랜섬웨어 사용과 관련하여 기소했습니다.
Evil Corp는 사이버 범죄의 규모뿐만 아니라(이 회사의 맬웨어는 컴퓨터를 감염시키고 로그인 자격 증명을 수집하여 전 세계 수백 개의 은행과 기타 금융 기관에서 1억 달러 이상을 도난하는 결과를 낳았습니다) 러시아 사이버 범죄 분야에 깊이 뿌리를 두고 있다는 점에서도 두드러집니다.
아래에서 Evil Corp의 제재, 사이버 범죄 집단Lockbit 과 러시아 국가와의 관계 등에 대해 자세히 살펴보겠습니다.
Evil Corp의 글로벌 혼란
2024년 10월의 공동 지정 은 Evil Corp의 창립 리더인 막심 야쿠베츠 와 이 그룹에 소속된 12명 이상의 구성원, 중개자, 회사(여기에는 Dridex를 담당하는 Evil Corp 관리자, 이고르 투라셰프, Evil Corp 재정 중개자 데니스 구세프가 포함됩니다)를 대상으로 한 2019년 OFAC 지정을 보완합니다.
영국에서 FCDO는 2019년 OFAC에서 지정한 Maksim Yakubets와 Evil Corp 개인 7명을 포함한 16명을 지정했습니다 . 2019년에 제재를 받은 개인 중 한 명은 Yakubets와 긴밀히 협력하여 Evil Corp의 가장 번식력이 강한 랜섬웨어 변종을 개발한 Aleksandr Viktorovich Ryzhenkov입니다. 주목할 점은 Ryzhenkov가 Lockbit 계열사로도 확인되었다는 것입니다. FCDO의 노력 외에도 영국의 국가 범죄 기관(NCA)은 이 그룹에 대한 광범위한 조사인 "Evil Corp: Behind the Screens"를 발표했습니다.
호주에서 DFAT는 야쿠베츠, 투라셰프, 리젠코프 에게 제재를 가했습니다 .
마지막으로, 여러 유럽 법 집행 기관이 Lockbit 행위자들을 방해하기 위해 협력 조치를 취했습니다. 프랑스 당국의 요청에 따라 Lockbit 개발자로 의심되는 사람이 체포되었고, 영국 당국은 LockBit 계열사의 활동을 지원한 혐의로 두 사람을 체포했으며, 스페인 경찰은 Lockbit의 랜섬웨어 인프라의 일부인 9개의 서버를 압수하고 Lockbit에서 사용하는 방탄 호스팅 서비스 의 관리자를 체포했습니다.
Lockbit과 Evil Corp의 연결
이전에 다루었 듯이 Evil Corp와 Lockbit의 활동은 온체인에서 중복되었습니다. 구체적으로 Evil Corp와 관련된 리브랜딩된 랜섬웨어 균주와 Lockbit에 속한 암호화폐 클러스터는 아래 Chainalysis Reactor 그래프에서 볼 수 있듯이 중앙화된 거래소에서 동일한 입금 주소를 사용했습니다.
이러한 온체인 중복은 Evil Corp가 제재 대상 기관과의 제휴를 최소화하고 리브랜딩하려는 노력의 일환으로 Lockbit을 사용한다는 내용을 다룬 2022년 Mandiant 보고서 와 일치합니다.
내부적으로 그리고 보안 서비스와의 강력한 가족적 유대감
Evil Corp의 운영에서 핵심적인 측면은 많은 동일한 가족 구성원이 활동에 관여하는 것으로 보인다는 것입니다. 예를 들어, 미국 트레져리 는 2019년 원래 지정 에서 Maksim Yakubets가 러시아 연방 보안국(FSB)에서 근무했으며 2018년 현재 FSB로부터 러시아 기밀 정보를 다루는 라이선스를 취득하는 과정에 있다고 언급했습니다. Yakubets의 장인이자 전 FSB Spetsnaz(특수부대) 장교인 Eduard Benderskiy도 2024년 10월 1일에 미국 트레져리 에 의해 지정 되었습니다.
지정에 따르면, Benderskiy는 Evil Corp와 러시아 국가 간의 관계를 가능하게 하는 핵심 인물로, 자신의 지위와 연락처를 활용하여 Evil Corp와 러시아 정보 기관 간의 활동을 조정했습니다. 또한 Maksim의 아버지 Viktor는 2024년 10월 1일에 트레져리, FCDO, DFAT에 의해 지정되었으며, Maksim의 형제인 Artem Yakubets(Viktorovich라는 중간 이름과 우크라이나 Polonnoye에서 출생한 것으로 보아)도 2019년에 Evil Corp의 핵심 구성원으로 지정되었고 그룹에 물질적 지원을 제공했습니다.
이런 연결 외에도 OFAC, FCDO, DFAT의 지정을 받은 세르게이 리젠코프는 야쿠베츠의 오른팔인 알렉산드르 리젠코프와 같은 중간 이름을 공유하고 있어 관련이 있을 가능성이 높습니다.
러시아 기반 사이버 범죄자들을 무너뜨리기 위한 글로벌 협력
위의 조치는 러시아에 기반을 둔 사이버 범죄자들을 방해하기 위한 조정된 다자간 조치의 더 큰 캠페인의 일부이며, 많은 사이버 범죄자들이 불법 활동을 수행하기 위해 암호화폐를 사용합니다. 이에 대한 최근의 다른 사례로는 독일 연방 형사 경찰(BKA)이 47개의 러시아 비 KYC 거래소를 폐쇄하고 , OFAC가 러시아 거래소 크립텍스와 사기 숍 조력자 UAPS를 지정한 것이 있으며 , 이는 네덜란드와 미국 법 집행 기관이 이러한 서비스를 폐쇄한 것과 협력한 것입니다.
NCA의 사이버 인텔리전스 책임자인 윌리엄 라인은 "Evil Corp는 사이버 범죄자들이 전략을 끊임없이 진화시키고 있다는 것을 극명하게 일깨워줍니다. Evil Corp가 랜섬웨어를 활용하기 시작하면서 암호화폐는 비즈니스 모델의 중요한 요소가 되었습니다. 그러나 LockBit 그룹에서 얻은 데이터를 통해 NCA는 Evil Corp 회원을 포함한 계열사를 추적하고 속성을 지정하는 다양한 도구와 기능을 사용할 수 있었습니다. 여기에는 블록체인의 고유한 투명성과 추적 가능성 활용하는 것이 포함되었습니다. 10월 1일에 제공된 활동은 영국과 동맹국에 피해를 입힌 위협 행위자를 방해하는 파트너십과 협력의 힘을 보여줍니다."라고 말했습니다.
미국, 영국, 호주 전역에서 이러한 지정과 관련된 체포 및 압수는 추가적인 방해 및 기소와 관련된 후속 조치를 생성할 가능성이 높습니다. 가능한 경우 이러한 사이버 범죄자 및 관련 기관에 대한 업데이트를 계속 제공할 것입니다.
이 웹사이트에는 Chainalysis, Inc. 또는 그 계열사(총칭하여 “Chainalysis”)의 통제를 받지 않는 제3자 사이트로의 링크가 포함되어 있습니다. 이러한 정보에 대한 액세스는 Chainalysis가 사이트 또는 운영자와 연관, 지지, 승인 또는 추천하는 것을 의미하지 않으며, Chainalysis는 해당 사이트에 호스팅된 제품, 서비스 또는 기타 콘텐츠에 대해 책임을 지지 않습니다.
이 자료는 정보 제공 목적으로만 제공되며, 법률, 세무, 재무 또는 투자 조언을 제공하려는 것이 아닙니다. 수신자는 이러한 유형의 결정을 내리기 전에 자신의 자문가와 상의해야 합니다. Chainalysis는 수신자가 이 자료를 사용하는 것과 관련하여 내린 결정이나 기타 행위 또는 부작위에 대해 책임이나 의무를 지지 않습니다.
Chainalysis는 이 보고서에 있는 정보의 정확성, 완전성, 적시성, 적합성 또는 타당성을 보장하거나 보증하지 않으며, 해당 자료의 어떠한 부분의 오류, 누락 또는 기타 부정확성으로 인해 발생하는 모든 청구에 대해 책임을 지지 않습니다.
OFAC가 영국의 FCDO와 호주의 DFAT와 공동으로 러시아 기반 사이버 범죄 조직인 Evil Corp를 지정했다는 기사가 Chainalysis 에 처음 게재되었습니다.
