블랙수트 사라진 자리에 카오스 입점...옛날 그 카오스 아냐

새로운 랜섬웨어 사업자가 등장했다. 이름은 카오스(Chaos)라고 하는데, 최근 국제 공조로 와해된 블랙수트(BlackSuit) 조직의 일원들로 구성됐을 가능성이 제기됐다. 사법 기관 때문에 활동이 중단된 사이버 범죄 집단이 얼마 후 슬금슬금 다른 이름으로 모습을 드러내는 건 흔히 있는 일이다. 블랙수트도 그런 전철을 밟는 것으로 보인다.

카오스?

카오스는 2025년 2월에 처음 등장했다. 돈을 많이 낼 만한 조직들만을 골라서 노리며, 이중협박 전략을 구사한다. “처음에는 단순 스팸으로 공격을 시작했습니다. 하지만 점점 발전해 음성까지 동원한 사회 공학적 공격까지 하고 있으며, 원격 모니터링 관리 도구를 활용해 피해자 시스템에 연결하기도 합니다. 합법적 파일 공유 소프트웨어를 통해 데이터를 빼돌립니다.” 보안 업체 시스코(Cisco)의 탈로스 팀이 설명한다.

카오스 랜섬웨어 자체는 “부분 암호화”와 “탐지 및 분석 방해 기술”로 특징 지어진다. 공격의 효율성에 초점이 맞춰진 듯한 특징이다. 심지어 이름도 새로운 게 아니라 기존 랜섬웨어 그룹의 것을 그대로 가져왔다. “예전에도 카오스 랜섬웨어가 있었죠. 하지만 이번 카오스는 옛날 카오스와 전혀 관계가 없습니다. 공격자들은 다만 위장술 목적으로 옛 카오스의 이름을 본 딴 것으로 추정됩니다. 수사관들을 헷갈리게 하겠다는 거죠.”

또 카오스는 윈도, ESXi, 리눅스, NAS와 호환되기도 한다. 호환되는 환경이 많다는 건, 공격자들이 공격 대상을 빠르고 쉽게 결정할 수 있다는 의미가 된다. 이 역시 공격 효율성을 높이는 데 일조할 수 있다. 피해자에게는 대략 30만 달러의 돈을 요구한다. 이 돈을 낼 경우 복호화 도구와 침해 경로 보고서를 제공 받을 수 있다.

카오스의 공격 시나리오는 대체적으로 다음과 같다.

1) 피싱 및 비싱을 조합해 원격 데스크톱 설치를 유도한다.

2) 피해자 시스템 내에서 정찰 활동을 수행한다.

3) 조용히 원격 관리 도구들을 설치한다(예 : 애니데스크, 스크린커넥트, 스플래시톱 등)

4) 동시에 크리덴셜을 수집하고 파워셸 이벤트 로그를 삭제하며 보안 도구도 제거한다.

5) 굳싱크(GoodSync)를 활용해 횡적 이동을 실시한다.

6) 꼼꼼하게 많은 장비나 네트워크 영역에서부터 데이터를 빼돌린다.

7) 충분한 데이터를 확보했다면 파일 암호화를 실시한다.

블랙수트?

왜 블랙수트와 관계가 있는 것으로 분석되고 있을까? 암호화 기술의 명령어, 피해자를 위한 협박 편지 내용과 구조, 공격 과정에서 사용된 원격 지원 도구 등 유사한 점이 많기 때문이다. 재미있는 건 블랙수트도 과거 로얄(Royal)이라고 했던 랜섬웨어의 후신이라는 것이다. 로얄이 사법 기관에 쫓기자 냉큼 이름을 바꾼 게 블랙수트다. 그 로얄은 악명 높은 랜섬웨어 조직 콘티(Conti)에서 분리돼 나온 그룹이다.

블랙수트는 최근 체크메이트 작전(Operation Checkmate)이라는 국제 공조로 인해 사실상 범죄 세계에서 사라졌다. 이는 본지 기사(https://thetechedge.ai/operation-checkmate-shuts-down-blacksuit-ransomware/)를 통해서 더 상세히 설명됐다. 

블랙수트는 구 소련 연방 소속 국가들은 공격하지 않았다. 이 때문에 블랙수트가 러시아 해커들로 구성돼 있을 거라고 보는 시각도 존재한다. 아직까지 카오스에서는 그러한 특성이 나타나지 않는데, 이는 카오스가 활동을 그리 활발히 하지 않기 때문이기도 하다. 카오스가 점점 힘을 얻기 시작하면 블랙수트가 보여주었던 특성들이 똑같이 나타날 가능성이 높다. 

국제 공조로 사라진 그룹은, 영원히 사라지지는 않는다. 이름만 바꿔서 다시 활동을 재개하는 게 요즘 사이버 범죄 조직이 보여주는 ‘트렌드’다. 국제 공조는 조직 하나 완전히 제거하는 걸 목적으로 두고 있지 않다. 인프라 무력화와 용의자 체포에 성과를 거두고 나서, 이를 언론을 통해 전파하면서, ‘사이버 범죄자들도 체포될 가능성 다분하다’는 걸 잠재 용의자들에게 경고처럼 알려주는 게 진짜 목적이다.

Related Materials

• BlackSuit Ransomware Group Transitioning to 'Chaos' Amid Leak Site Seizure - SecurityWeek , 2025년
• BlackSuit Ransomware Group's Dark Web Sites Seized, Chaos Seen as BlackSuit’s Rebrand - InfoSecurity Magazine , 2025년
• BlackSuit ransomware gang's darknet websites seized by police; Some members forming Chaos ransomware - The Record , 2025년
• Rise of Chaos Ransomware Tied to BlackSuit Group's Exit - Bank Info Security , 2025년

구소련 국가 공격 않던 블랙수트 랜섬웨어, 국제 공조로 폐쇄

💡Editor’s Pick - 체크메이트 작전으로 블랙수트 랜섬웨어 공격 인프라 압수 - 블랙수트는 로얄 랜섬웨어의 후신...둘 다 CIS 공격 삼가 - 주요 인물 체포되지 않아 부활 가능성 높아 악명 높은 랜섬웨어 그룹인 블랙수트(BlackSuit)가 국제 공조로 당분간 활동을 못하게 됐다. 일명 체크메이트작전(Operation Checkmate)에 당한 것이다. 블랙수트가 사용해

The Tech EdgeJustAnotherEditor

[단독] 지우병원, 랜섬웨어 공격받아 개인정보 유출

💡Editor Pick - 지우병원, 지난 20일 랜섬웨어 공격 받아 서버 해킹...개인정보 유출 확인 - 개인정보 유출 항목, 성명·생년월일·연락처·진료기록 일부 등 지우병원이 랜섬웨어 공격으로 개인정보가 유출됐다. 유출된 개인정보 항목은 성명, 생년월일, 연락처, 진료기록 일부 등 이다. 그러나 유출 규모 등은 밝히지 않았다. 개인정보 유출 원인에 대해 지우병원은

The Tech EdgeCheifEditor