Executive Summary

다크웹에서는 모든 것에 가격이 정해져 있으며, 거의 모든 것을 공개적으로 판매하거나 구매할 수 있습니다. 사이버 범죄에 성공하려면 한 사람이 모든 분야의 전문가가 되어야 하는 것처럼 보이지만, 실제로는 거의 모든 범죄에는 다른 구성원들의 네트워크에서 제공하는 다양한 도구와 서비스가 필요합니다.

사이버 범죄 조직은 특정 전문 분야를 전문으로 하는 위협 행위자들로 상당히 수직화되어 있습니다. 지하 시장의 회복력에 기여하는 것은 바로 이러한 전문 지식의 분배입니다. 마약 카르텔과 마찬가지로, 한 위협 행위자나 포럼을 제거하면 즉시 경쟁자가 그 자리를 차지하게 됩니다. 따라서 캠페인을 시작하고 컨셉을 넘어 최종 실행과 실질적인 수익으로 이어지려면 먼저 퍼즐 게임을 완성해야 합니다.

배경

지난 20년간 사이버 범죄 지하 세계 는 주로 동유럽 출신 사기꾼들이 일반적인 전자상거래 사기를 중심으로 운영되던 분산된 메시지 보드 몇 개에서 시작해, 현재 우리가 다크 웹이라고 부르는 매우 복잡한 생태계로 진화했습니다. 오늘날 인터넷의 어두운 세계는 다양한 지리적 지역, 전문 분야, 그리고 구성원의 경험으로 나뉘어진 커뮤니티들로 구성되어 있으며, 초보적인 스크립트 키디부터 대만 ATM 강탈 사건과 러시아 은행을 대상으로 한 악성 소프트웨어 공격과 같은 극도로 정교한 공격의 주모자까지 모두 지원할 수 있습니다. 이러한 공격을 통해 위협 행위자들은 수천만 달러의 수익을 올렸습니다.

위협 분석

봇넷 운영은 운영자에게 최대 수익성 수준을 달성하기 위해 필요한 모든 단계의 복잡성을 설명하는 데 가장 좋은 예입니다. 다음 예는 사이버 작전을 시작하고 유지하는 데 드는 초기 비용과 운영자의 직접 및 이차적인 재정적 수익을 보여줍니다.

• 뱅킹 트로이 목마 라이선스는 사이버 범죄 캠페인에서 가장 비싼 요소 중 하나이며 전문 멀웨어 개발자로부터 3,000~5,000달러에 구입할 수 있습니다.
• 그런 다음 뱅킹 자격 증명을 가로채려면 각 대상 금융 기관의 웹 인젝터를 별도로 구입해야 하며, 세트당 150~1,000달러의 비용이 듭니다. 지난 한 해 동안 캐나다 기관을 표적으로 하는 웹 인젝트 비용은 가격 스펙트럼의 상위 수준에서 제공되는 반면, 미국 기반 은행을 표적으로 하는 멀웨어의 비용은 동일하게 유지되었습니다.
• 전체 운영에 대한 일관된 가시성을 유지하고 감염된 컴퓨터 네트워크를 제어하려면 중국, 중동 또는 동유럽의 비우호적인 관할권 중 하나에서 방탄 호스팅을 사용해야 합니다. 범죄 활동에 유리한 데이터센터의 웹 서버 월 임대료는 일반적으로 $150~$200입니다.
• 일관된 페이로드 전달을 보장하고 안티바이러스 제품에 탐지되지 않도록 하려면 실행 파일을 "" 정리하고 매일 난독화해야 하며, 대규모 작업의 경우 하루에 여러 번 난독화해야 합니다. 이러한 서비스는 단일 페이로드 난독화당 20~50달러에 이용할 수 있지만, 대량 주문의 경우 더 낮은 가격으로 협상할 수 있습니다.
• 감염된 리소스 또는 이메일 스팸 캠페인으로 리디렉션되는 꾸준한 웹 트래픽은 악성 페이로드의 두 가지 주요 전달 수단입니다. 의심하지 않는 사람 천 명이 감염된 웹 페이지를 방문하도록 하는 데는 15~50달러의 비용이 들지만, 전문 스팸 운영자는 성공적으로 전달된 이메일 100만 건당 400달러의 비용을 청구합니다.
• 멀웨어를 성공적으로 심고 뱅킹 인증 정보를 가로채면, 공격자는 최종 대가를 받기 위해 일련의 운반책 및 자금 세탁 중개자와 협력해야 합니다. 평판이 좋고 빠른 처리 능력이 있는 자금 세탁업자는 피해자의 계좌에서 송금할 때마다 50~60%의 높은 수수료를 부과합니다. 경우에 따라 자금을 세탁하고 비트코인, 웹머니, 웨스턴 유니온 등 선호하는 결제 수단을 통해 주 운영자에게 전달하기 위해 5~10%의 추가 수수료가 필요할 수 있습니다.

러시아어를 사용하는 다크 웹 커뮤니티에서 스파르타 통화 서비스 광고.

• 송금을 진행하기 위해 추가 전화 확인이 필요한 경우, 지하 통화 서비스 중 하나를 통해 진행되며 통화당 10~15달러의 요금이 부과됩니다.
• 송금을 진행하기 위해 추가 서류 및 전화 인증이 필요한 경우, 다양한 지원 업체를 이용할 수 있습니다. 위조 운전면허증은 25달러에 몇 시간 내에 배송될 수 있지만, 더 정교한 동영상 셀카는 100달러가 소요됩니다.
• 계정 소유자가 무단 거래를 알아채지 못하도록 하거나, SMS 확인을 가로채거나, 공격이 진행되는 동안 소유자의 휴대폰에 완전히 연결할 수 없도록 하기 위해 이메일/전화 "플러딩(" )을 20달러에 구매할 수 있습니다. 하지만 복제된 SIM 카드의 가격은 150~300달러로 훨씬 더 비쌉니다.

유출된 은행 계좌에서 훔친 자금 외에도 전 세계의 광범위한 피해자 네트워크에 지속적으로 접근하면 필연적으로 상당한 잔여 수입이 발생할 수 있습니다.

• 공격자가 직접 표적으로 삼지 않은 리소스에 대한 로그인 자격 증명을 조회하는 것은 지하 조직원에게 제공될 수 있으며, 세트당 100~200달러의 추가 비용을 받을 수 있습니다. 이러한 서비스는 상업적 및 국가적 스파이 캠페인에 관여할 가능성이 있는 틈새 구매자들의 수요가 많습니다.
• 신용카드 정보는 다크웹 마켓플레이스에서 개당 5~10달러에 빠르게 판매될 수 있습니다.
• 다양한 전자상거래 인증정보에 대한 수요는 꾸준하지만, 최근 대규모 계정 탈취 캠페인이 확산되면서 사용 가능한 데이터의 과잉이 발생하여 각 인증정보 세트당 가격이 1~5달러로 낮아졌습니다.
• 공격자가 원하는 결과를 얻을 수 없는 경우, 주문형 멀웨어는 설치당 약 1달러에 다른 범죄자에게 제공될 수 있습니다.
• 수집된 비정형 데이터로 구성된 무작위 봇넷 로그는 합리적인 유효 기간이 끝나면 데이터 1기가바이트당 20달러에 쉽게 판매될 수 있습니다.

전망

이 예에서는 널리 사용되는 단일 공격 방법만 살펴보았지만, 랜섬웨어 및 피싱 캠페인을 비롯한 다른 사이버 범죄를 시작하는 데에도 유사한 지원 인프라가 사용될 수 있습니다. 사이버 공격이 성공하려면 공격의 개념화부터 수익 창출까지 여러 분야의 전문 지식이 필요하기 때문에 한 개인이 단독으로 사이버 공격을 감행했다고 보기는 어려울 것입니다. 이러한 수단은 모두 유료로 이용할 수 있으며, 비용은 광고주가 원하는 캠페인의 정교함에 따라 달라질 수 있습니다.

안드레이를 트위터에서 @DeepSpaceEye로 팔로우할 수 있습니다.