락빗 랜섬웨어 조직, 내부 데이터 유출로 치명적 타격

2025년 5월 초, 악명 높은 랜섬웨어 조직 '락빗(LockBit)'이 자사의 다크웹 인프라가 해킹당하는 사건을 겪었다. 이로 인해 내부 운영 데이터와 피해자와의 협상 기록이 외부에 유출되며, 조직의 신뢰도와 운영에 심각한 타격을 입혔다.

해커들은 락빗의 다크웹 관리자 패널을 변조하여 "Don't do crime. CRIME IS BAD. xoxo from Prague"라는 메시지와 함께 'paneldb_dump.zip' 파일의 다운로드 링크를 게시했다. 이 파일은 락빗의 MySQL 데이터베이스 덤프를 포함하고 있으며, 내부 운영에 대한 상세한 정보를 담고 있다 .

유출된 데이터베이스는 총 20개의 테이블로 구성되어 있으며, 그 중 일부는 다음과 같은 민감한 정보를 포함하고 있다:

-'btc_addresses' 테이블: 약 59,975개의 고유 비트코인 주소가 포함되어 있어, 랜섬 지불과 자금 세탁 경로를 추적하는 데 활용될 수 있다.

-'builds' 테이블: 공격에 사용된 랜섬웨어 빌드 정보와 일부 표적 기업의 이름이 포함되어 있다.

-'builds_configurations' 테이블: 각 빌드의 구성 설정, 예를 들어 특정 ESXi 서버를 제외하거나 특정 파일을 암호화하는 등의 정보가 담겨 있다.

-'chats' 테이블: 2024년 12월 19일부터 2025년 4월 29일까지의 피해자와의 협상 메시지 4,442건이 포함되어 있으며, 이는 락빗의 협상 전략과 피해자 대응 방식을 엿볼 수 있는 자료이다 .

-'users' 테이블: 75명의 관리자 및 가맹 파트너 정보와 함께, 일부 계정의 비밀번호가 평문으로 저장되어 있었다.

락빗의 운영자 'LockBitSupp'는 위협 행위자 'Rey'와의 Tox 대화에서 해당 해킹 사실을 인정했으며, "데이터 손실이나 비공개 키 유출은 없었다"고 주장했다 .

이번 해킹은 2024년 국제 법 집행 기관의 'Operation Cronos' 작전 이후 락빗이 겪은 두 번째 큰 타격이다. 당시 작전으로 락빗의 인프라와 데이터 유출 사이트가 폐쇄되었으나, 조직은 빠르게 복구하여 활동을 재개했다. 그러나 이번 내부 데이터 유출은 조직의 신뢰도와 운영에 더욱 심각한 영향을 미칠 것으로 보인다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★