8일(현지시간) 더블록에 따르면, 사이버 범죄 조직 락빗(LockBit)의 다크웹 운영 패널이 해킹되어 내부 데이터베이스가 외부에 유출되었다. 해커는 ‘프라하에서 온 메시지’라는 문구와 함께 ‘범죄 하지 마라(CRIME IS BAD)’는 문구를 운영 패널 전면에 게시하였으며, 데이터베이스 덤프 파일을 링크로 제공하였다.
보안 전문 매체 블리핑컴퓨터(BleepingComputer)의 분석에 따르면, 이번 유출에는 5만9975개의 비트코인(BTC) 주소, 공개키, 4442건의 피해자 협상 메시지, 랜섬웨어 빌드 파일, 공격 설정 값, 관리자·협력자 75명의 계정 정보와 평문 비밀번호(예: Weekendlover69, Lockbitproud231) 등이 포함되어 있었다. 다만 프라이빗 키는 포함되지 않은 것으로 확인되었으며, 락빗 운영자 ‘LockBitSupp’도 이를 인정하였다.
락빗은 '랜섬웨어-서비스(RaaS)' 모델로 운영되며, 제휴자들에게 공격 툴과 인프라를 제공하고, 이들이 피해자에게 비트코인이나 모네로(XMR) 등으로 금전을 요구하도록 설계되어 있다. 공격 수익은 믹서, 크로스체인 스왑, 프라이버시 코인 등을 통해 세탁되는 방식이다.
이번 유출 데이터는 지난 4월 29일경 덤프된 것으로 보이며, 웹서버는 원격 코드 실행이 가능한 CVE-2024-4577 취약점이 있는 PHP 8.1.2 버전을 실행 중이었던 것으로 드러났다. 해킹 메시지와 수법은 최근 에베레스트(Everest) 랜섬웨어 조직의 사이트를 해킹한 사례와 유사해 동일 해커의 소행일 가능성이 제기된다.
락빗은 2024년 2월 국제공조 수사 ‘크로노스 작전(Operation Cronos)’으로 서버 34대, 1000개의 복호화 키, 암호화폐 주소, 데이터를 압수당한 바 있다. 이후 재정비를 통해 재가동에 성공했으나, 같은 해 미국 정부는 조직 수장 드미트리 코로셰프(Dmitry Khoroshev)를 기소하고, 자산 동결 및 1000만 달러 현상금을 내건 상태이다. 코로셰프는 랜섬웨어 공격으로 약 1억 달러를 벌어들인 것으로 알려졌다.
