레빌 랜섬웨어 조직이 운영하던 다크웹 페이지 일시적으로 재가동

[보안뉴스 이상우 기자] 레빌(REvil) 랜섬웨어 조직의 다크웹 서버가 약 2개월 만에 다시 가동됐다. 블리핑컴퓨터에 따르면 레빌이 운영하는 Tor 결제·협상 사이트 ‘해피블로그’가 다시 온라인으로 돌아왔으며, 가장 최근 피해자는 2021년 7월 8일에 추가된 것으로 확인됐다. 다만, 랜섬웨어 조직이 복귀한 것인지, 실수로 켠 것인지, 아니며 법 집행기관에서 수사를 위해 서버를 재가동한 것인지는 불확실하다.


레빌 랜섬웨어 조직은 카세야 VSA 원격 관리 소프트웨어의 제로데이 취약점을 사용해 약 60개의 MSP(Managed Service Provider)와 1,500개 이상의 기업을 공격했다. 하지만 공격 후, 미국 수사기관이 이들을 압박해오자 활동을 중단하고 모든 Tor 서버와 인프라를 종료한 바 있다. 이 때문에 협상을 원하는 랜섬웨어 피해자는 협상을 할 수 없고, 파일을 복원할 수도 없는 상황에 놓였으나, 이후 카세야가 암호 해독 키를 누군가에게 넘겨받아 제공하기도 했다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>