랜섬웨어 그룹 엠바고(Embargo)는 2024년 4월 이후 여러 암호화폐 연동 결제를 통해 3400만 달러 이상을 빼돌린 혐의를 받고 있습니다. 블록체인 정보 분석 업체 TRM 랩스에 따르면, 비교적 신생 그룹인 엠바고는 사이버 범죄 세계에서 핵심적인 역할을 하는 세력으로 부상했습니다.
TRM 랩스는 엠바고가 서비스형 랜섬웨어(RaaS) 모델로 운영되며 미국 전역의 주요 기반 시설을 공격한다고 밝혔습니다.
보고서에 따르면 해당 그룹은 여러 주에 걸쳐 병원과 여러 제약 네트워크를 공격했습니다. 피해 병원 중에는 아메리칸 어소시에이티드 파머시, 조지아주 메모리얼 병원과 매너 병원, 아이다호주 와이저 병원 등이 있으며, 몸값 요구액은 최대 130만 달러에 달하는 것으로 나타났습니다.
TRM 랩의 조사 결과 엠바고의 운영 방식이 드러났습니다
TRM Labs에 따르면도 없이 사라지는 일종의 사기 수법입니다 trac.
TRM Labs는 Rust 프로그래밍 언어를 사용하고, 유사한 데이터 유출 사이트를 운영하며, 공유 지갑 인프라를 통해 온체인 연결을 보이는 등 두 조직이 기술적으로 중복되는 부분이 있다고 지적했습니다.
보도에 따르면, 엠바고(Embargo) 소유의 불법 수익금 약 1,800만 달러가 여전히 관련 없는 지갑에 보관되어 있는 것으로 나타났습니다. 분석가들은 이러한 전략이 적발을 지연시키거나 향후 더 나은 악용 기회를 노리는 데 사용될 수 있다고 보고 있습니다.
Embargo는 중간 지갑, 위험도가 높은 거래소, 그리고 Cryptos.net을 포함한 제재 대상 플랫폼 네트워크를 이용하여 거래 내역을 숨기고 자금을 은닉합니다. TRM Labs는 5월부터 8월까지 Embargo가 다양한 가상 자산 서비스 제공업체를 통해 훔친 최소 1,350만 달러를 trac했으며, 그중 100만 달러 이상이 Cryptex를 통해 이동되었다고 밝혔습니다.
와 같은 그룹처럼 공격적인 전술을 사용하지는 않지만 LockBit , 이중적인 갈취 전략을 구사합니다. 시스템 암호화와 민감한 데이터 유출 협박을 통해 피해자들에게 몸값을 요구하며, 경우에 따라서는 관련된 개인의 이름이나 탈취한 데이터를 공개하여 위협의 강도를 높이기도 합니다.
에마르고는 위험 부담이 큰 목표물을 노린다
이 그룹은 의료, 제조, 비즈니스 서비스 등 운영에 큰 손실을 초래하는 산업 분야를 주로 표적으로 삼습니다. 특히 미국에 기반을 둔 피해자를 선호하는 것으로 나타났는데, 이는 미국 기업들이 운영 중단으로 인한 손실이 크기 때문에 제때 변제할 여력이 있는 경향이 있기 때문입니다.
한편, 영국은 모든 공공 부문 기관과 국가 중요 기반 시설 운영자를 대상으로 랜섬웨어 결제를 금지하는 계획을 발표했습니다. 이러한 부문에는 에너지, 의료 및 지방 의회가 포함됩니다. 이 제안은 금지 대상에 포함되지 않는 피해자들이 랜섬웨어 결제 시도를 당국에 신고하도록 하는 예방 체계를 도입할 것입니다.
이 계획에는 피해자가 공격 발생 후 72시간 이내에 정부에 초기 보고서를 제출하고, 이후 28일 이내에 상세한 후속 보고서를 제출해야 하는 의무 신고 시스템도 포함되어 있습니다.
체인애널리시스의 이전 보고서에 따르면, 랜섬웨어 공격은 작년에 약 35% 감소했습니다. 이 보고서는 2022년 이후 랜섬웨어로 인한 수익이 이처럼 크게 감소한 것은 처음이라고 밝혔습니다. 2월에 발표된 이 보고서는 이러한 감소세에도 불구하고 피해자들이 범죄자들에게 입은 손실액이 여전히 8억 달러를 넘는다고 지적했습니다. 체인애널리시스는 이러한 감소의 원인으로 법 집행 강화, 국제 협력 증진, 그리고 피해자들의 몸값 지불 거부 증가 등을 꼽았습니다.
