다시 돌아오는 Hive 랜섬웨어

1. Over-View(개요)

2021년 6월에 RaaS (Ransomware-as-a-Service) 모델로 시작된 Hive 랜섬웨어 갱단은 랜섬웨어를 개발하고 공격을 수행하는 편리한 방법을 제공하는 모델입니다. 갱단은 개발자와 계열사들로 이루어져 있으며, 계열사는 다양한 초기 침투 방법을 사용하여 피해 조직을 공격합니다. 피싱 메일, 취약점, 취약한 RDP, VPN, MS Exchange Server 등을 통해 초기 액세스를 얻었습니다.

 

2021년 6월부터 2022년 11월까지 Hive 랜섬웨어를 사용하여 정부 시설, 통신, 중요 제조, 정보 기술, 특히 의료 및 보건 분야 등 다양한 산업과 중요 인프라를 대상으로 랜섬웨어 공격을 수행했습니다. FBI에 따르면 2022년 11월까지 전 세계적으로 1,300개 이상의 조직에 피해를 입혔으며, 받은 몸값은 약 1억 달러입니다.

 

Hive 랜섬웨어 갱단은 이중 갈취 모델을 사용하여 피해 조직의 시스템을 암호화하기 전에 민감한 데이터를 탈취했습니다. 'HiveLeaks'라는 TOR 사이트를 통해 몸값을 지불하지 않는 피해 조직의 데이터를 공개했습니다.

 

2022년 7월말, FBI는 Hive 랜섬웨어 갱단의 인프라에 침투하여 복호화 키를 수집하고, 2023년 1월 26일에는 미 법무부가 미국과 독일, 네덜란드 법 집행 기관과의 협력으로 Hive 랜섬웨어 갱단의 인프라와 TOR 웹 사이트를 폐쇄한다고 발표했습니다.