LockBit 랜섬웨어 제품군에 대해 알아야 할 모든 것

정기적으로 사이버 보안 위협에 대한 최신 정보를 유지한다면 랜섬웨어가 얼마나 위험할 정도로 널리 퍼졌는지 알 것입니다. 이러한 유형의 맬웨어는 개인과 조직에 큰 위협이 되며, 현재 LockBit을 비롯한 여러 가지 변종이 악의적인 행위자에게 최고의 선택이 되고 있습니다.

그렇다면 LockBit은 무엇이고, 어디서 왔으며, 이 랜섬웨어로부터 어떻게 자신을 보호할 수 있을까요?

LockBit 랜섬웨어란 무엇입니까?

LockBit은 단일 랜섬웨어 제품군으로 시작되었지만 이후 여러 번 진화하여 최신 버전이 " LockBit 3.0 "이라고 불립니다. LockBit에는 RaaS(Ransomware-as-a-Service) 모델을 사용하여 작동하는 랜섬웨어 프로그램 제품군이 포함되어 있습니다.

서비스형 랜섬웨어(Ransomware-as-a-Service)는 사용자가 특정 유형의 랜섬웨어에 액세스하여 공격에 사용할 수 있도록 비용을 지불하는 비즈니스 모델입니다. 이를 통해 해당 사용자는 제휴사가 되며 결제는 정액 요금 또는 구독 기반 서비스로 구성될 수 있습니다. 간단히 말해서, LockBit의 제작자는 이 RaaS 모델을 사용하여 LockBit 사용으로 더 많은 이익을 얻을 수 있는 방법을 찾았으며 피해자가 몸값을 지불할 수도 있습니다.

DarkSide 및 REvil을 포함한 여러 다른 랜섬웨어 프로그램은 RaaS 모델을 통해 액세스할 수 있습니다. 게다가 LockBit은 오늘날 가장 널리 사용되는 랜섬웨어 중 하나입니다.

LockBit은 랜섬웨어 계열이므로 대상 파일을 암호화하는 데 사용됩니다. 사이버 범죄자는 피싱 이메일이나 악성 첨부 파일 등 어떤 방식으로든 피해자의 장치에 침투한 다음 LockBit을 사용하여 사용자가 액세스할 수 없도록 장치에 있는 모든 파일을 암호화합니다.

피해자의 파일이 암호화되면 공격자는 암호 해독 키를 대가로 몸값을 요구합니다. 피해자가 이를 따르지 않고 몸값을 지불하지 않으면 공격자는 이익을 위해 다크 웹 에서 데이터를 판매할 가능성이 높습니다 . 데이터가 무엇인지에 따라 개인이나 조직의 개인정보에 돌이킬 수 없는 피해가 발생할 수 있으며 이로 인해 몸값 지불에 대한 압력이 높아질 수 있습니다.

그런데 이 극도로 위험한 랜섬웨어는 어디서 오는 걸까요?

LockBit 랜섬웨어의 근원지

LockBit이 언제 개발되었는지는 정확히 알 수 없으나 처음 발견된 2019년부터 인지되고 있습니다. 이 발견은 첫 번째 LockBit 공격 이후에 이루어졌습니다. 랜섬웨어 이름은 처음에 공격에 악용된 암호화된 파일의 확장명을 참조하여 "ABCD"로 명명되었습니다. 그러나 공격자들이 대신 ".lockbit" 파일 확장자를 사용하기 시작하면서 랜섬웨어의 이름이 현재의 이름으로 변경되었습니다.

LockBit의 인기는 두 번째 버전인 LockBit 2.0이 개발된 이후 더욱 높아졌습니다. 2021년 말에는 LockBit 2.0이 공격에 점점 더 많이 사용되었고, 다른 랜섬웨어 갱단이 폐쇄되면서 LockBit은 시장 격차를 활용할 수 있었습니다.

실제로 Palo Alto 보고서에 따르면 LockBit 2.0의 채택이 늘어나면서 2022년 1분기에 "우리가 관찰한 모든 랜섬웨어 침해 사건 중 가장 널리 배포되고 영향력이 있는 랜섬웨어 변종"이라는 입지가 확고해졌습니다. 게다가 Palo Alto는 같은 보고서에서 LockBit의 운영자가 현재 활성화된 랜섬웨어 중 가장 빠른 암호화 소프트웨어를 보유하고 있다고 주장한다고 밝혔습니다.

LockBit 랜섬웨어는 중국, 미국, 프랑스, ​​우크라이나, 영국, 인도를 포함한 전 세계 여러 국가에서 발견되었습니다. 아일랜드계 미국 ​​전문 서비스 회사인 Accenture를 포함하여 여러 대규모 조직도 LockBit을 사용하여 표적이 되었습니다.

Accenture는 2021년에 LockBit을 사용하여 데이터 유출을 겪었으며, 공격자들은 6TB가 넘는 암호화된 데이터와 함께 무려 5천만 달러의 몸값을 요구했습니다. Accenture는 이번 공격으로 피해를 입은 고객이 없음을 확인했지만 이 몸값을 지불하는 데 동의하지 않았습니다.

LockBit 3.0과 그 위험

LockBit의 인기가 높아짐에 따라 각각의 새로운 변종은 실질적인 관심사입니다. LockBit 3.0이라고 불리는 최신 버전의 LockBit은 특히 Windows 운영 체제에서 문제가 되었습니다.

2022년 여름, LockBit 3.0은 Windows Defender 익스플로잇을 통해 대상 장치에 악성 Cobalt Strike 페이로드를 로드하는 데 사용되었습니다. 이번 공격에서는 MpCmdRun.exe라는 실행 가능한 명령줄 파일이 남용되어 Cobalt Strike 비컨이 보안 탐지를 우회할 수 있었습니다.

LockBit 3.0은 VMwareXferlogs.exe라는 VMWare 명령줄을 활용하여 Cobalt Strike 페이로드를 다시 배포하는 데에도 사용되었습니다. 이러한 공격이 계속될지 아니면 완전히 다른 공격으로 발전할지는 알 수 없습니다.

많은 랜섬웨어 프로그램의 경우와 마찬가지로 LockBit 랜섬웨어도 위험도가 높다는 것은 분명합니다. 그렇다면 어떻게 자신을 안전하게 지킬 수 있습니까?

LockBit 랜섬웨어로부터 자신을 보호하는 방법

파일을 암호화하려면 LockBit 랜섬웨어가 먼저 장치에 존재해야 하기 때문에 먼저 감염을 완전히 방지해야 합니다. 랜섬웨어 보호를 보장하기는 어렵지만 할 수 있는 일은 많습니다.

첫째, 완전히 합법적이지 않은 웹사이트에서 파일이나 소프트웨어 프로그램을 다운로드하지 마십시오. 모든 유형의 확인되지 않은 파일을 장치에 다운로드하면 랜섬웨어 공격자가 파일에 쉽게 액세스할 수 있습니다. 신뢰할 수 있고 평가가 좋은 다운로드 웹사이트만 사용하거나 소프트웨어 설치를 위한 공식 앱 스토어를 사용하고 있는지 확인하세요.

명심해야 할 또 다른 요소는 LockBit 랜섬웨어가 원격 데스크톱 프로토콜(RDP)을 통해 확산되는 경우가 많다는 것입니다. 이 기술을 사용하지 않더라도 너무 걱정할 필요는 없습니다. 그러나 그렇게 하는 경우 비밀번호 보호, VPN을 사용하고 직접 사용하지 않을 때는 프로토콜을 비활성화하여 RDP 네트워크를 보호하는 것이 중요합니다. 랜섬웨어 운영자는 인터넷에서 취약한 RDP 연결을 검색하는 경우가 많으므로 추가 보호 계층을 추가하면 RDP 네트워크가 공격에 덜 취약해집니다.

랜섬웨어는 악의적인 행위자가 사용하는 매우 일반적인 감염 및 데이터 도용 방법인 피싱 을 통해 확산될 수도 있습니다 . 피싱은 가장 일반적으로 이메일을 통해 배포되는데, 공격자는 이메일 본문에 악성 링크를 첨부하여 피해자가 클릭하도록 유도합니다. 이 링크는 맬웨어 감염을 촉진할 수 있는 악성 웹사이트로 연결됩니다.

스팸 방지 기능, 웹사이트 링크 확인, 바이러스 백신 소프트웨어 등 다양한 방법으로 피싱을 방지할 수 있습니다. 또한 새 이메일의 보낸 사람 주소를 확인하고 이메일의 철자 오류를 검사해야 합니다. 피싱 이메일에는 철자 및 문법 오류가 많이 포함되어 있는 경우가 많습니다.

LockBit은 계속해서 글로벌 위협이 되고 있습니다.

LockBit은 계속해서 성장하고 있으며 점점 더 많은 피해자를 표적으로 삼고 있습니다. 이 랜섬웨어는 조만간 등장하지 않을 것입니다. 일반적으로 LockBit 및 랜섬웨어로부터 자신을 안전하게 보호하려면 위의 몇 가지 팁을 고려하세요. 결코 표적이 되지 않을 것이라고 생각할 수도 있지만 어쨌든 필요한 예방 조치를 취해야 합니다.