미국, 북한 해커 용의자 훔친 자금 압수

미국 법무부가 북한 해커로 의심되는 사람들로부터 50만 달러 상당의 비트코인을 압수했습니다.

해커는 새로운 종류의 랜섬웨어로 의료 제공자를 공격하여 여러 조직에서 자금을 갈취했습니다.

미국 당국 은 이미 두 병원 그룹에 몸값을 반환했다고 밝혔습니다.

미국 당국이 북한이 주요 랜섬웨어 위협이 되고 있다고 경고하면서 드물게 성공한 압수 사례가 나왔다.

화요일 회의에서 Lisa O. Monaco 법무차관은 랜섬웨어 공격에 대해 FBI에 조기에 알린 익명의 캔자스 병원을 칭찬했습니다.

그녀는 "이를 통해 우리는 몸값과 이전에 알려지지 않은 피해자가 지불한 몸값을 회수할 수 있었을 뿐만 아니라 이전에 확인되지 않은 랜섬웨어 변종도 식별할 수 있었습니다."라고 말했습니다.

Lisa O. Monaco 법무차관은 법무부가 모든 각도에서 악의적인 사이버 활동을 공격하고 있다고 말했습니다.

해커 표적 병원

법원 문서에 따르면 해커들은 2021년 5월에 캔자스에 있는 의료 센터의 파일과 서버를 암호화하기 위해 Maui라는 랜섬웨어 변종을 사용했습니다.

일반적으로 랜섬웨어 해커는 몸값이 지불될 때까지 악성 소프트웨어를 사용하여 데이터를 스크램블하거나 시스템에서 사용자를 잠급니다.

Kansas 병원은 IT 시스템에 액세스할 수 없는 일주일을 보낸 후 컴퓨터와 장비를 다시 사용하기 위해 Bitcoin으로 약 100,000달러를 지불하기로 결정했습니다.

해커의 몸값을 지불하는 것은 불법이 아니지만 전 세계의 법 집행 기관에서는 이를 권장하지 않습니다.

FBI는 의료 센터에서 지불에 대해 신속하게 통보받았다고 밝혔습니다. 이는 경찰관들이 이전에 보지 못한 북한과 연결된 랜섬웨어를 식별하고 암호화폐를 중국에 기반을 둔 자금 세탁 업체로 추적할 수 있음을 의미합니다.

에이전트는 범죄 암호화폐 계정 중 하나에 120,000달러를 추가로 지불한 것을 식별할 수 있었습니다. 이것은 마우이(Maui) 랜섬웨어 범죄자들에 의해 해킹된 후 방금 몸값을 지불한 콜로라도의 의료 제공자로 밝혀졌습니다.

FBI는 돈을 두 의료 제공자에게 반환했지만 나머지 압수 자금이 어디에서 왔는지는 밝히지 않았다.

FBI가 자금을 압수할 수 있었던 방법은 알려져 있지 않지만 Bitcoin 지불을 분석하는 Elliptic의 설립자이자 수석 과학자인 Tom Robinson은 해커가 Bitcoin을 기존 통화로 교환하려고 시도하면서 압수가 발생했을 수 있다고  말했습니다.

"수사관이 암호화폐를 거래소 플랫폼으로 추적할 수 있었을 가능성이 있습니다. 여기에서 세탁자는 현금을 인출하기 위해 자금을 보냈을 것입니다. 거래소는 규제를 받는 비즈니스이며 법 집행 기관이 강제할 경우 고객의 자금을 압수할 수 있습니다. "라고 말했다.

도난당한 암호 화폐를 압수하는 것은 일반적으로 사이버 범죄자를 체포하여 디지털 지갑에 액세스하는 것과 관련이 있습니다.

"또 다른 가능성은 암호화폐가 세탁자의 지갑에서 직접 압수되었다는 것입니다. 지갑의 개인 키에 액세스해야 하기 때문에 더 어렵습니다. 지갑에 있는 암호화폐에 액세스하고 이동할 수 있는 암호입니다."

미국 당국은 법 집행 기관이 서방의 지원 요청에 협조하지 않는 북한 및 러시아와 같은 관할권에서 활동하는 사이버 범죄자로부터 갈취한 자금을 탈취하기 위해 점점 더 새로운 전술을 사용하고 있습니다.

사이버 보안 회사 Rapid7의 Jen Ellis는 "이러한 압수는 여전히 매우 드물며 사이버 강탈 사건을 신속하게 보고하고 법 집행 기관과 협력하는 것의 가치를 강조합니다."라고 말했습니다.

"모든 경우에 지불금을 회수할 수는 없지만 공격자 그룹의 전술, 기술 및 절차에 대한 정보가 많을수록 공격을 방해하고 저지하고 대응할 가능성이 높아집니다. 모두에게 이익이 됩니다."

지난 6월 미국 은 Colonial Pipeline이 러시아에 기반을 둔 것으로 생각되는 사이버 범죄 조직에 지불한 440만 달러의 몸값 대부분을 회수 했습니다.

2021년 11월에 미국은 러시아와 깊은 관련이 있는 REvil이라는 다른 랜섬웨어 조직으로부터 600만 달러를 회수했습니다.

북한 랜섬웨어

북한은 전통적인 국가 스파이 요소와 함께 수년 동안 악당 국가를 위해 돈을 벌기 위한 해킹을 지휘했다는 비난을 받아왔습니다.

북한의 해킹 활동은 2016년 방글라데시 은행에서 10억 달러를 빼돌리려 시도한 혐의를 받고 있는 이른바 라자루스 해커 그룹에 기인하는 경우가 많습니다.

작년에 이 그룹은 암호화폐 플랫폼에 대한 수익성 있는 공격과 관련이 있었지만 지난달 미국 사이버 당국 은 북한 해커가 미국 병원에 랜섬웨어 공격을 시작 한다는 경고를 발표했습니다 .

당국은 공격의 배후에 북한이 있다는 증거를 제공하지 않았지만, 마우이 랜섬웨어에 대한 사이버 보안 자문 공동 평가에 따르면 "최소한 2021년 5월부터 북한의 국가 후원 사이버 공격자들이 의료 기관을 목표로 사용하고 있습니다. "