독일 경찰, GandCrab·REvil 랜섬웨어 조직의 러시아인 수장 실명 공개

• 독일 연방범죄수사청이 러시아 국적의 다닐 막시모비치 슈추킨을 GandCrab과 REvil 랜섬웨어 조직의 수장으로 지목하며 실명을 공개함
• 슈추킨은 ‘UNKN(UNKNOWN)’이라는 닉네임으로 활동하며, 피해자에게 두 차례 돈을 요구하는 이중 갈취 방식을 도입한 핵심 인물로 알려짐
• GandCrab은 2018년 등장해 제휴 모델을 통해 약 20억 달러를 갈취한 뒤 종료되었고, 이후 REvil이 등장해 대형 기업을 표적으로 삼음
• 미국 법무부는 슈추킨 명의의 암호화폐 계좌 압류를 요청했으며, 독일 당국은 그가 러시아 크라스노다르에 거주 중일 가능성이 높다고 발표함
• REvil은 업무 외주화와 하위 생태계를 갖춘 산업형 범죄 구조로 발전했으나, 2021년 Kaseya 해킹 사건 이후 FBI의 개입으로 붕괴됨

독일, 러시아 랜섬웨어 조직 GandCrab·REvil의 수장 ‘UNKN’ 실명 공개

• 독일 연방범죄수사청(BKA) 은 러시아 국적의 다닐 막시모비치 슈추킨(Daniil Maksimovich Shchukin) 을 GandCrab과 REvil 랜섬웨어 조직의 수장으로 지목
  • 슈추킨은 2019~2021년 사이 독일 내에서 최소 130건의 컴퓨터 파괴 및 협박 행위를 주도한 혐의
  • 또 다른 러시아인 아나톨리 세르게비치 크라브추크(Anatoly Sergeevitsch Kravchuk) 와 함께 약 200만 유로를 갈취하고, 총 3,500만 유로 이상의 경제적 피해를 초래한 것으로 조사됨
• BKA는 슈추킨이 ‘UNKN’(또는 UNKNOWN) 이라는 닉네임으로 활동하며, 이중 갈취(double extortion) 방식을 도입한 핵심 인물이라고 발표
  • 피해자는 암호 해제 키를 받기 위해 한 번, 탈취된 데이터를 공개하지 않게 하기 위해 또 한 번 돈을 지불해야 했음
  • GandCrab과 REvil은 전 세계적으로 활동한 대형 랜섬웨어 네트워크로 평가됨

GandCrab과 REvil의 형성과 진화

• GandCrab 랜섬웨어는 2018년 1월 등장해, 해커들에게 기업 계정 침투만으로도 수익을 배분하는 제휴(affiliate) 모델을 운영
  • 개발팀은 보안업체의 대응을 피하기 위해 다섯 차례 주요 버전을 배포하며 기능을 지속적으로 개선
  • 2019년 5월, 약 20억 달러를 갈취한 뒤 활동 종료를 선언하며 “악행으로도 무사히 부자가 될 수 있다”는 메시지를 남김
• GandCrab 종료 직후 REvil 랜섬웨어가 등장
  • ‘UNKNOWN’이라는 사용자가 러시아 범죄 포럼에 100만 달러를 예치하며 신뢰를 확보했고, 이는 GandCrab의 재편으로 간주됨
  • REvil은 대형 기업과 보험 가입 조직을 주요 표적으로 삼아 막대한 몸값을 요구하는 ‘빅게임 헌팅’ 전략으로 발전

슈추킨의 신원 및 국제 수사

• 미국 법무부는 2023년 2월, REvil 활동 수익이 담긴 암호화폐 계좌 압류를 요청하며 슈추킨의 이름을 명시
  • 해당 지갑에는 약 31만7천 달러 상당의 암호화폐가 포함되어 있었음
• BKA는 슈추킨이 러시아 크라스노다르 출신이며 현재도 그곳에 거주 중일 가능성이 높다고 발표
  • “해외 체류 중일 가능성이 있으며, 여행 활동도 배제할 수 없다”고 명시

REvil의 조직 운영과 산업화된 범죄 구조

• Renee Dudley와 Daniel Golden의 저서 The Ransomware Hunting Team에 따르면, REvil은 합법 기업처럼 업무 외주화와 재투자(reinvestment) 를 통해 효율을 극대화
  • 개발자는 품질 향상에 집중하고, 외부 업체가 웹 디자인·로지스틱스·암호화 서비스 등을 담당
  • ‘크립터’ 제공자, ‘초기 접근 브로커’, 비트코인 세탁 서비스 등 다양한 하위 생태계가 형성되어 범죄 산업이 확장됨

주요 사건과 몰락

• 2021년 7월 4일 주말, REvil은 미국 IT 관리업체 Kaseya를 해킹해 1,500여 고객사에 피해를 입힘
  • FBI는 이미 REvil 서버에 침투해 있었으나 작전 노출을 피하기 위해 즉시 개입하지 못했다고 발표
  • 이후 FBI가 무료 복호화 키를 공개하면서 REvil은 사실상 붕괴됨

추가 단서와 신원 확인

• 사이버 인텔리전스 기업 Intel 471의 포럼 분석 결과, 슈추킨은 과거 ‘Ger0in’ 이라는 이름으로 봇넷 운영 및 악성코드 설치 서비스를 판매한 기록이 있음
  • Ger0in은 2010~2011년 활동했으며, UNKNOWN과의 직접적 연결은 확인되지 않음
• Pimeyes 이미지 비교 사이트를 통해 BKA가 공개한 사진과 2023년 크라스노다르 생일 파티 사진의 인물이 동일 시계를 착용한 것으로 일치
• 2023년 독일 CCC(Chaos Communication Congress) 회의에서도 슈추킨이 REvil 리더로 언급된 영어 더빙 오디오가 공개됨