역사상 가장 악명 높은 랜섬웨어 그룹 리더의 정체가 드디어 밝혀졌다.
화요일, 영국 국립범죄대책국을 이끄는 형사 기관 연합이 러시아 국적인 31세의 미트리 유리예비치 호로셰브가 LockBit 랜섬웨어의 별명 LockBitSupp을 사용하는 번호로, LockBit 랜섬웨어의 관리자 및 개발자임을 발표했다. 미국 법무부도 호로셰브를 컴퓨터 범죄, 사기 및 협박 혐의로 기소했다.
“오늘 우리는 이 악성 사이버 계획을 개발하고 관리한 개인을 기소함으로써 한 걸음 더 나아갑니다. 이 계획은 2,000여 명 이상의 피해자를 겨냥하고 랜섬웨어 지불액으로 1억 달러 이상을 훔쳤다,”라고 발표문에서 메릭 B. 가를란 미국 법무부 장관은 말했다.
법무부에 따르면 호로셰브는 모스크바 남쪽 약 300마일 떨어진 러시아의 보로네즈 출신이다.
“드미트리 호로셰브는 세계에서 가장 생산적인 랜섬웨어 버전 및 그룹인 Lockbit을 제작 및 운영했으며 결과적으로 자신과 협력업체들이 전 세계 수천 명의 피해자에게 수십억 달러의 피해를 입히는 것을 가능케했다,” 뉴저지 지방검사 필립 R. 셀링어는 호로셰브가 기소된 장소다.
법집행 연합은 LockBitSupp의 정체를 보도 자료와 LockBit의 원래 다크 웹 사이트에서 발표했으며, 당국은 올해 초 사이트를 장악했다. 사이트에서 미국 국무부가 호로셰브를 체포 및 기소하는 데 도움이 되는 정보에 대해 1천만 달러의 보상을 발표했다.
미국 정부는 또한 호로셰브에 대한 제재를 발표했으며, 이로써 피해자가 랜섬을 지불하는 것과 같은 행위를 금지했다. 랜섬웨어 뒤의 사람들을 제재하는 것은 사이버 공격으로부터 이익을 보기 어렵게 만든다. 제재 위반, 즉 제재된 해커에게 지불하는 경우 무거운 벌금과 기소 형사 처벌을 받을 수 있다.
LockBit는 2020년부터 활동했으며, 미국 사이버 보안 기관 CISA에 따르면 해당 그룹의 랜섬웨어 변형은 2022년에 '가장 많이 배포된' 것이었다.
사법 단체인 유럽 경찰국은 이 법 집행 작전에 참여했으며, 피해자가 이전에 해당 그룹에 의해 암호화된 데이터를 해제하는 데 도움이 되는 2,500개 이상의 복호화 키를 보유하고 있다고 밝혔다.
NCA는 압류된 LockBit 사이트에 LockBit의 활동에 대한 통계를 포함한 인포그래픽을 게시했다. 데이터에 따르면 해당 그룹은 어린이 병원을 포함한 100여 개의 병원, 의료 기관 및 시설을 겨냥했다. 그 경우 LockBit은 공격을 실수로 했다고 주장하며 해당 공격을 책임진 '파트너'를 차단하고 파일을 잠금 해제하는 복호화 키를 제공하겠다고 말했다. 그러나 NCA에 따르면 '그것은 거짓말이었다.' 파트너는 여전히 활동 중이었고, 복호화 키는 '제대로 작동하지 않았다.'고 전했다.
NCA는 호로셰브가 그들의 조사 결과를 반박하고 싶다면 연락하면 된다고 제안했다. “당신은 이를 직접 확인하러 오실 수 있나요?”라고 NCA가 말했다.
일요일에 법 집행 연합은 LockBit의 압류된 다크 웹 사이트를 복원하여 최신 발견을 풀어 나갈 목적으로 게시물 목록을 게시했다. 2월에 당국은 LockBit의 사이트를 통제하고 해커들의 게시물을 자신들의 게시물로 대치하며 연합이 “크로노스 작전”이라고 부르는 것과 관련된 기타 정보를 포함한 보도 자료를 게시했다. 그 후 잠시 후, LockBit은 새로운 사이트와 새로운 명단을 제시하는 것처럼 보였으며 해당 명단은 해당 그룹을 추적하는 보안 연구원에 따르면 월요일까지 업데이트되고 있었다.
며칠 동안 LockBit의 리더인 LockBitSupp는 법 집행 작전을 부인하고 LockBit이 여전히 활동 중이며 피해자를 겨냥하고 있다는 점을 공개적으로 전하려 했다. 지난 3월에 LockBitSupp는 뉴스 매체 The Record에 인터뷰를 제공하여 크로노스 작전과 법 집행의 행동이 “어떠한 식으로도 비즈니스에 영향을 미치지 않는다”고 주장했다.
“나는 이것을 추가 광고와 내 성격의 힘을 모두에게 보여주는 기회로 받아들입니다. 나는 위협 받지 않을 수 없습니다. 죽지 않는 것은 강해지게 만듭니다,” LockBitSupp는 The Record에 말했다.
