체인널리시스 보고서: 탈취된 자금과 랜섬웨어가 증가하는 이유

출처: Chainalysis; Tao Zhu, Golden Finance 작성

요약

• 올해까지 총 불법 활동량은 20% 가까이 감소했으며, 이는 합법적인 활동이 불법 활동보다 빠르게 증가하고 있음을 시사합니다.

• 지난해 같은 기간에 비해 불법 거래가 감소했음에도 불구하고 두 가지 유형의 불법 활동, 즉 탈취된 자금과 랜섬웨어가 증가하고 있습니다. 구체적으로 도난 자금 유입액은 8억 5,700만 달러에서 15억 8,000만 달러로 2배 가까이 증가했으며, 랜섬웨어 유입액은 4억 4,910만 달러에서 4억 5,980만 달러로 약 2% 증가했습니다.

탈취된 자금

탈취당한 암호화폐의 평균 개수는 거의 80% 증가했습니다.

이러한 이유 중 하나는 비트코인(BTC)의 가격 상승으로, 이번 절도 사건에서 전체 거래량의 40퍼센트를 차지했습니다. 또한, 암호화폐 도둑들은 BTC 거래에 덜 인기 있는 탈중앙화 금융 프로토콜을 우선시하기보다는 중앙화된 거래소를 더 자주 노리는 등 초심으로 돌아가는 것으로 보입니다.

북한과 연계된 IT 종사자를 포함한 고급 사이버 범죄자들은 암호화폐 관련 서비스에 침투하여 돈을 훔치기 위해 소셜 엔지니어링과 같은 오프체인 방법을 점점 더 많이 사용하고 있습니다.

랜섬웨어

• 2024년은 랜섬웨어로 인한 수익이 가장 높은 해가 될 것으로 예상되는데, 이는 랜섬웨어가 주목할 만한 공격을 덜 시작하기 때문이기도 합니다. 거액의 몸값을 지불(업계에서는 "거물 사냥"이라고 함)하기 때문입니다. 2024년에는 다크 엔젤스 랜섬웨어 그룹에 약 7,500만 달러가 지급되어 역대 최대 규모의 랜섬웨어 지불금이 지급되었습니다.

• 랜섬웨어에 지불된 평균 몸값은 2023년 초 20만 달러 미만에서 2024년 6월 중순 150만 달러로 급증했으며, 이는 이러한 랜섬웨어 소프트웨어는 자금력이 풍부하고 시스템적으로 중요하기 때문에 높은 몸값을 지불할 가능성이 높은 대기업과 중요 인프라 제공업체를 우선적으로 표적으로 삼고 있습니다.

• 랜섬웨어 생태계는 최근 ALPHV/BlackCat, LockBit과 같은 대형 업체들에 대한 법 집행의 중단으로 인해 일부 분열을 경험했습니다. 이러한 혼란 이후 일부 계열사는 덜 효과적인 바이러스로 전환하거나 자체적으로 바이러스를 출시했습니다.

2024년에는 암호화폐 생태계에서 많은 긍정적인 발전이 있었습니다. 미국에서 비트코인 현물 및 이더리움 상장지수펀드(ETF)가 승인되고 금융회계기준위원회(FASB)가 공정 회계 규칙을 개정함에 따라 암호화폐는 여러 방면에서 주류로 인정받고 있습니다. 그러나 모든 신기술이 그렇듯이 암호화폐를 채택하는 사람들은 선한 쪽과 악한 쪽 모두에서 증가하고 있습니다. 연간 불법 활동은 전년 대비 감소했지만, 특정 사이버 범죄 관련 단체의 암호화폐 유입은 우려스러운 추세를 보이고 있습니다.

아래 차트에서 볼 수 있듯이, 합법적인 서비스의 연간 유입량은 지난 강세장이 정점을 찍었던 2021년 이후 가장 높은 수준입니다. 이러한 고무적인 신호는 전 세계적으로 암호화폐가 계속 채택될 것임을 시사합니다. 고객신원확인 정보를 수집하지 않는 믹서 및 거래소를 중심으로 한 고위험 서비스로 자금이 유입되는 추세는 작년 동기보다 높습니다. 동시에 올해 들어 총 불법 활동은 209억 달러에서 167억 달러로 19.6% 감소했으며, 이는 체인에서 합법적인 활동이 불법 활동보다 빠르게 성장하고 있음을 시사합니다. 항상 그렇듯이 이러한 불법 수치는 현재 발견된 불법 주소의 유입을 기반으로 한 추정치라는 점에 유의해야 합니다. 시간이 지남에 따라 더 많은 불법 주소를 분류하고 과거 활동을 데이터에 통합하면 이 총계는 더 높아질 것입니다.

이미지 src="https://img.jinse.cn/7285268_watermarknone.png" title="7285268" alt="OJSTPuCxfYQoAOwMQWeruk65B5SCVp1AI40wiy7g.jpeg">

올해의 또 다른 중요한 업데이트는 체인널리시스 시그널 데이터를 기반으로 특정 범죄 유형에 대한 전체 추정치에 불법 활동 의심 사례를 포함하기 시작했다는 것입니다. 이전에는 체인널리시스 추정치에는 불법 단체에 속한다는 증빙 문서가 있는 주소와 관련된 총계만 포함되었지만, 시그널은 온체인 데이터와 휴리스틱을 사용하여 알려지지 않은 특정 주소 또는 주소 클러스터의 의심스러운 범주를 가능성에서 거의 확실에 이르는 신뢰 수준으로 식별하며, 시그널의 도입으로 특정 범주의 불법 활동에 대한 추정치가 증가했을 뿐만 아니라 의 특정 범주에 대한 추정치가 증가했을 뿐만 아니라, 더 많은 정보를 수집하고 의심스러운 활동의 상위 체인 패턴을 파악할 수 있는 시간을 확보함으로써 전년도 추정치를 개선할 수 있었습니다. 악의적인 행위자들의 전술이 계속 진화함에 따라, Facebook의 탐지 및 차단 방법도 함께 진화할 것입니다.

전체 불법 거래는 전년 동기 대비 감소했지만, 두 가지 주목할 만한 불법 활동 유형인 도난 자금과 랜섬웨어는 -- 는 증가 추세에 있습니다. 암호화폐 도난으로 도난당한 자금은 전년 대비 증가하여 7월 말 기준 8억 5,700만 달러에서 15억 8,000만 달러로 두 배 가까이 증가했습니다. 작년 중반 업데이트에서 2023년 6월까지 랜섬웨어 유입액은 총 4억 4,910만 달러였습니다. 올해는 같은 기간 동안 랜섬웨어 유입액이 4억 5,980만 달러를 넘어섰으며, 이는 랜섬웨어로 인한 또 다른 기록적인 해가 될 수 있음을 시사합니다.

도난 자금 급증으로 중앙화된 거래소를 노리는 공격자들이 돌아왔다

2023년에 도난당한 암호화폐의 가치는 2022년에 비해 50% 감소했으며 올해에는 해킹 활동이 다시 활발해졌습니다. 도난당한 금액과 전년 대비 해킹 사고 건수를 비교해 보면 알 수 있습니다. 아래 차트에서 볼 수 있듯이 올해 도난당한 누적 금액은 7월 말 기준 15억 8천만 달러로 작년 동기 대비 약 84.4%가 증가했습니다. 흥미롭게도 2024년 해킹 사고 건수는 2023년보다 소폭 증가하여 전년 대비 2.76% 증가에 그쳤습니다. 도난 당시 자산 가치를 기준으로 한 사고당 평균 도난 금액은 2023년 1월부터 7월까지 사고당 590만 달러에서 2024년 현재까지 사고당 1,060만 달러로 79.46% 증가했습니다.

도난당한 가치의 변화는 주로 자산 가격 상승에 기인합니다. 예를 들어, 비트코인 가격은 2023년 첫 7개월 평균 26,141달러에서 올해 7월까지 평균 60,091달러로 130% 상승했습니다.

비트코인 가격은 특히 중요합니다.

체인널리시스에서 추적하는 해킹 지표 중 하나는 해킹 공격 발생 후 탈취된 자금의 흐름과 관련된 거래량입니다. 해킹당한 서비스가 도난당한 자산의 내역을 공개적으로 보고하지 않는 경우가 많기 때문에 이를 도난당한 자산의 대리 지표로 사용할 수 있습니다. 작년에는 이 거래량의 30%가 비트코인과 관련된 거래였습니다. 올해는 도난당한 자금 활동과 관련된 비트코인 거래가 전체 트래픽의 40%를 차지했습니다. 이러한 패턴은 2024년 중앙화된 서비스가 해킹을 당해 거액을 탈취당하는 등 침해당하는 기업의 유형이 변화한 데 따른 것으로 보입니다. 특히 3억 5,000만 달러의 손실을 입은 DMM과 같은 중앙화된 거래소의 경우 이러한 패턴이 두드러집니다. DMM 해킹으로 약 4,500 BTC가 도난당한 것으로 알려졌으며, 이는 2024년 해킹된 가치의 약 19%에 해당합니다.

암호화폐 도둑들은 4년 전 탈중앙화 거래소(일반적으로 비트코인을 거래하지 않는)에 집중했다가 다시 중앙화 거래소를 표적으로 삼아 이전의 작전으로 돌아가고 있는 것으로 보입니다.

이미지 src="https://img.jinse.cn/7285271_watermarknone.png" title="7285271" alt="s4VYd0yD0NyDfN7h1mF9XX2s4kFCtGMmfKdLy1uv.jpeg">

탈중앙화 금융 서비스, 특히 크로스체인 브리지에 대한 공격은 2022년에 정점을 찍지만, 중앙화된 거래소가 보안 투자를 늘린 이후 공격자들은 더 새롭고 취약한 조직으로 관심을 돌린 것으로 추측됩니다. 현재 북한과 연계된 공격자들을 포함한 공격자들은 점점 더 정교해지는 사회공학적 전술(IT 일자리 지원 등)을 사용하여 역사상 가장 중요한 공격 대상 중 하나인 중앙화된 거래소에 침투하여 암호화폐를 탈취하고 있습니다. 유엔은 최근 4,000명 이상의 북한 주민이 서방 기술 산업 기업에 취업했다고 보고했습니다.

2024년, 역대 최고 랜섬웨어 수익 기록

2023년 랜섬웨어는 10억 달러가 넘는 몸값을 지불하는 기록을 세웠습니다. 이러한 거액의 몸값은 MoveIT 제로데이 익스플로잇에 대한 cl0p 공격과 시저스 호텔에 1,500만 달러를 지불한 ALPHV/BlackCat 랜섬웨어 그룹의 공격과 같은 유명하고 파괴적인 공격에서 발생했습니다. [1] 이러한 지불은 랜섬웨어 배포자 멀웨어와 조직 인프라에 대한 상당한 법 집행 조치에도 불구하고 발생했습니다. 작년 이맘때인 2023년 6월 말까지 랜섬웨어로 지불된 누적 금액은 약 4억 4,910만 달러였습니다. 올해 같은 기간 동안 총 4억 5,980만 달러의 몸값을 기록했으며 2024년은 사상 최악의 해가 될 것으로 예상됩니다.

키바 컨설팅의 법률 고문 앤드류 데이비스는 락빗과 ALPHV/블랙캣으로 인한 피해에도 불구하고 랜섬웨어 활동은 비교적 안정적으로 유지되고 있다고 말했습니다. "이러한 잘 알려진 위협 행위자의 이전 지부든, 떠오르는 랜섬웨어 조직이든, 수많은 새로운 랜섬웨어 조직이 등장하여 초기 접근 수단과 측면 이동 방법을 확장하는 등 공격을 수행하는 새로운 방법과 기술을 선보이고 있습니다."

아래 차트에서 볼 수 있듯이 랜섬웨어 공격도 훨씬 더 심각해졌습니다. 한 가지 주목할 만한 변화는 한 해 동안 관찰된 최고 몸값이 급증했다는 점입니다. 2024년에는 다크 엔젤스라는 랜섬웨어 조직이 약 7,500만 달러로 역대 최대 금액을 지불한 것으로 나타났습니다. 또한 2023년 최고 결제 금액은 전년 대비 96%, 2022년 최고 결제 금액은 335% 증가했습니다.

이미지 src="https://img.jinse.cn/7285272_watermarknone.png" title="7285272" alt="1s6Skha0ojTrilcYxaRh1bw0wyNwAHmr7HANPReB.jpeg">

최대 지급액의 급격한 증가가 충분히 나쁘지 않다는 듯이, 더욱 실망스러운 것은 이러한 연간 이상값의 추세가 실제로 중간 지급액의 추세를 반영하고 있다는 것입니다. 이러한 추세는 특히 가장 파괴적인 랜섬웨어 사고에서 흔히 볼 수 있습니다. 이 지점에 도달하기 위해 모든 바이러스 변종을 체인의 활동 수준에 따라 다음 범주로 분류했습니다.

• 극도로 심각한 바이러스: 특정 연도에 받은 최고 지불금이 100만 달러 이상이었음. US$100,000

• 고중증 바이러스: 해당 연도에 받은 최대 지급액이 US$100,000에서 US$1,000,000 사이

• 중증 바이러스: 해당 연도에 받은 최대 지급액이 US$10,000에서 US$100,000 사이

• 저중증 바이러스: 해당 연도에 받은 최대 지급액이 US$10,000 이상입니다: 특정 연도에 받은 최고 지급액이 $1,000에서 $10,000 사이

• 저중증 바이러스: 특정 연도에 받은 최고 지급액이 $1,000 미만

이 분류 시스템을 사용하면 시간에 따른 다양한 중증도에 대한 중간 지급액의 비정상적인 증가를 추적할 수 있습니다. 이러한 상승 추세는 특히 '매우 높은 중증도' 균주에서 두드러지게 나타나며, 2023년 첫 주에 $198,939에서 2024년 6월 중순에 $150만

이 분류 시스템을 사용하면 시간 경과에 따른 중증도별 중간 지급액의 변칙적인 증가를 추적할 수 있습니다. 2024년 6월 중순에는 150만 달러로 증가할 것으로 예상됩니다. 이는 이 기간 동안 가장 심각한 바이러스 유형에 대해 지급된 보상금이 일반적으로 7.9배 증가했음을 의미하며, 가 가장 심각한 바이러스 균주에 지급된 보상금은 일반적으로 7.9배 증가했고, 2021년 초 이후 거의 1,200배 증가했습니다. 이러한 패턴은 이러한 변종이 대기업과 중요 인프라 제공업체를 표적으로 삼기 시작했으며, 이러한 표적의 재무 건전성과 시스템적 중요성으로 인해 거액의 몸값을 지불할 가능성이 더 높다는 것을 나타낼 수 있습니다.

하지만 아래 차트에서 보듯이 가장 심각도가 높은 랜섬웨어 변종은 여전히 2023년 연간 총 실적의 50.8%에 미치지 못하고 있습니다. 이는 가장 큰 규모를 자랑하는 ALPHV/BlackCat과 LockBit이 한동안 랜섬웨어 운영을 중단하면서 법 집행에 차질을 빚었기 때문일 수 있습니다. 이러한 중단 이후 랜섬웨어 생태계는 더욱 세분화되어 계열사들이 효율성이 낮은 랜섬웨어 변종으로 마이그레이션하거나 자체적으로 랜섬웨어를 출시했습니다. 그 결과, 심각도가 높은 랜섬웨어 변종의 활동은 전년 대비 104.8% 증가했습니다

이미지 src="https://img.jinse.cn/7285275_watermarknone.png" title="7285275" alt=" TLAEjTix5ERjgQm4jwNNpfB1LkCEbdxYnfsbfiGH.jpeg">

랜섬웨어의 또 다른 추세는 공격 빈도도 높아지고 있다는 점입니다. span>, 데이터 유출 사이트에 대한 eCrime.ch의 통계에 따르면 올해 들어 지금까지의 공격이 최소 10% 이상 증가했습니다. 올해는 사상 최대의 랜섬웨어 건수, 사상 최대의 몸값, 악화되는 공격 환경에도 불구하고 좋은 소식도 있다는 점에 주목할 필요가 있습니다. 이러한 모든 불리한 요인에도 불구하고 피해자가 몸값을 지불하는 빈도는 여전히 낮습니다. 랜섬웨어 사고의 척도가 되는 랜섬웨어 침해 사이트의 게시물 수는 전년 대비 10% 증가했으며, 이는 더 많은 피해자가 위협을 받을 것으로 예상되는 수치입니다. 그러나 체인별로 측정한 랜섬웨어 지불 사고의 총 건수는 전년 대비 27.29% 감소했습니다. 이 두 가지 추세를 종합하면 올해까지 공격 건수는 증가했을지 모르지만 지불 비율은 전년 대비 감소했다는 것을 알 수 있습니다. 이는 생태계에 긍정적인 신호로, 피해자들이 몸값을 지불할 준비가 더 잘 되어 있음을 시사합니다.

데이비스는 "키부가 피해 조직을 지원한 문제 중 약 65%는 몸값을 지불하지 않고도 해결되었습니다. 피해 조직은 공격자에게 몸값을 지불할 필요 없이 계속해서 긍정적인 복구 추세를 보이고 있습니다."

이미지 src="https://img.jinse.cn/7285276_watermarknone.png" title="7285276" alt="FFjbijCeqaMCEpZKPdrj5kwztRx3nCdZFmDaiUyR.jpeg">

암호화폐 생태계의 불법 활동은 감소 추세를 이어가고 있지만, 자금 도난과 랜섬웨어라는 두 가지 유형의 암호화폐 범죄가 이러한 추세를 거스르고 있는 것으로 보입니다. 이 두 가지 범죄 유형은 특정 공통된 특징을 가진 범죄자들이 저지르는 경향이 있다는 점에 주목할 필요가 있습니다. 이들은 일반적으로 복잡한 네트워크 인프라를 활용하는 조직화된 그룹입니다. 자금 도난의 경우, 북한과 연계된 해커 그룹이 일부 대형 절도 사건의 배후에 있었습니다. 이들은 정교한 사회 공학 전술을 사용하여 암호화폐 기업에 침입하여 암호화폐 자산을 훔치고, 자금이 압수되기 전에 현금화하기 위해 특수한 자금 세탁 기술을 사용하는 것으로 알려져 있습니다.

사이버 범죄에 대응하기 위한 핵심은 공격자, 계열사, 파트너, 인프라 서비스 제공업체, 자금 세탁업자, 현금 인출 지점 등 공급망을 교란하는 것입니다. 암호화폐 강탈과 랜섬웨어는 거의 독점적으로 블록체인에서 작동하기 때문에 올바른 솔루션을 갖춘 법 집행 기관은 자금을 추적하여 이러한 행위자의 운영을 더 잘 이해하고 방해할 수 있습니다. eCrime.ch의 연구원 코신 카미첼은 "'크로노스 작전', '오리 사냥 작전', '엔드게임 작전 ' 및 기타 단속 및 법 집행 조치는 이러한 활동을 억제하고 범죄 행위에는 반드시 결과가 따른다는 것을 보여주는 데 매우 중요합니다."라고 말했습니다.