LockBit 3.0 랜섬웨어란 무엇입니까? 이를 방지하려면 어떻게 해야 합니까?

절도, 갈취, 명의 도용이 온라인에 만연해 있으며 매달 수천 명의 사람들이 다양한 사기와 공격의 희생양이 되고 있습니다. 그러한 공격 방법 중 하나는 LockBit 3.0이라는 랜섬웨어 유형을 사용합니다 . 그렇다면 이 랜섬웨어는 어디에서 왔으며, 어떻게 사용되며, 자신을 보호하기 위해 무엇을 할 수 있습니까?

LockBit 3.0은 어디에서 왔나요?

락비트 3.0

LockBit 3.0(LockBit Black이라고도 함)은 LockBit 랜섬웨어 제품군에서 탄생한 랜섬웨어 제품군입니다. 이는 1차 공격이 발생한 후인 2019년 9월에 처음 발견된 랜섬웨어 프로그램 그룹입니다. 처음에 LockBit은 ".abcd 바이러스"라고 불렸지만 당시에는 LockBit 제작자와 사용자가 원래 랜섬웨어 프로그램의 새 버전을 계속해서 만들 것이라는 사실은 알려지지 않았습니다.

LockBit의 랜섬웨어 계열은 자체적으로 확산되지만 특정 피해자, 주로 큰 몸값을 지불할 여유가 있는 피해자만 표적이 됩니다. LockBit 랜섬웨어를 사용하는 사람들은 피해자의 장치에 더 원격으로 쉽게 액세스할 수 있도록 다크 웹 에서 RDP(원격 데스크톱 프로토콜) 액세스를 구매하는 경우가 많습니다 .

LockBit의 운영자는 처음 사용된 이후 영국, 미국, 우크라이나 및 프랑스를 포함하여 전 세계 여러 조직을 표적으로 삼았습니다. 이 악성 프로그램 계열은 RaaS(Ransomware-as-a-Service) 모델을 사용합니다. 이 모델에서는 사용자가 특정 유형의 랜섬웨어에 액세스하기 위해 운영자에게 비용을 지불할 수 있습니다. 여기에는 일반적으로 어떤 형태의 등록이 포함됩니다. 때때로 사용자는 통계를 확인하여 LockBit 랜섬웨어 사용이 성공했는지 여부를 확인할 수도 있습니다.

2021년이 되어서야 LockBit 2.0(현재 랜섬웨어 변종의 전신)을 통해 LockBit이 인기 있는 랜섬웨어가 되었습니다. 이때 이 랜섬웨어를 사용하는 조직은 이중 강탈 모델을 채택하기로 결정했습니다. 여기에는 피해자의 파일을 암호화하고 다른 장치로 추출(또는 전송)하는 작업이 모두 포함됩니다. 이러한 추가적인 공격 방법은 대상 개인이나 조직에게 전체 상황을 더욱 무섭게 만듭니다.

가장 최근에 확인된 LockBit 랜섬웨어 유형은 LockBit 3.0입니다. 그렇다면 LockBit 3.0은 어떻게 작동하며 오늘날 어떻게 사용됩니까?

LockBit 3.0이란 무엇입니까?

LockBit 3.0은 감염된 장치의 모든 파일을 암호화하고 추출할 수 있습니다.

2022년 늦은 봄, LockBit 랜섬웨어 그룹의 새로운 버전인 LockBit 3.0이 발견되었습니다. 랜섬웨어 프로그램인 LockBit 3.0은 감염된 장치의 모든 파일을 암호화하고 유출할 수 있으므로 공격자는 요청된 몸값이 지불될 때까지 피해자의 데이터를 인질로 잡을 수 있습니다. 현재 이 랜섬웨어가 만연해 많은 우려를 낳고 있습니다.

일반적인 LockBit 3.0 공격의 흐름은 다음과 같습니다.

1. LockBit 3.0은 피해자의 장치를 감염시키고 파일을 암호화한 후 암호화된 파일 확장자 "HLjkNskOq"를 첨부합니다.

2. 그런 다음 암호화를 수행하려면 "-pass" 라는 명령줄 인수 키가 필요합니다.

3. LockBit 3.0은 여러 작업을 동시에 수행하기 위해 다양한 스레드를 생성하므로 데이터 암호화를 더 짧은 시간에 완료할 수 있습니다.

4. LockBit 3.0은 특정 서비스나 기능을 제거하여 암호화 및 필터링 프로세스를 훨씬 쉽게 만듭니다.

5. API는 서비스 제어 관리자의 데이터베이스 액세스를 포함하는 데 사용됩니다.

6. 피해자의 컴퓨터 배경 화면이 변경되어 공격을 받고 있음을 알 수 있습니다.

피해자가 허용된 기간 내에 몸값을 지불하지 않으면 LockBit 3.0 공격자는 다크 웹에서 훔친 데이터를 다른 사이버 범죄자에게 판매합니다. 이는 피해자와 조직 모두에게 재앙이 될 수 있습니다.

이 글을 쓰는 시점에서 LockBit 3.0은 Windows Defender를 활용하여 Cobalt Strike를 배포하는 것으로 가장 유명합니다 . 이 소프트웨어는 여러 장치에 걸쳐 일련의 맬웨어 감염을 일으킬 수도 있습니다.

이 프로세스 동안 공격자가 암호를 해독하고 경고를 실행할 수 있도록 MpCmdRun.exe 명령줄 도구가 악용됩니다. 이는 시스템을 속여 악성 DLL(동적 링크 라이브러리)의 우선순위를 지정하고 로드하도록 수행됩니다.

MpCmdRun.exe 실행 파일은 Windows Defender 에서 맬웨어를 검색하여 유해한 파일 및 프로그램으로부터 장치를 보호하는 데 사용됩니다. Cobalt Strike는 Windows Defender 보안 조치를 우회할 수 있으므로 랜섬웨어 공격자에게 매우 유용해졌습니다.

이 기술은 사이드로딩이라고도 하며 악의적인 행위자가 감염된 장치에서 데이터를 훔칠 수 있도록 허용합니다.

LockBit 3.0 랜섬웨어를 방지하는 방법은 무엇입니까?

LockBit 3.0은 특히 암호화하고 유출할 수 있는 데이터가 많은 대규모 조직에서 점점 더 우려되고 있습니다. 이러한 유형의 위험한 공격을 피하는 것이 중요합니다.

이렇게 하려면 먼저 모든 계정에서 매우 강력한 비밀번호 와 2단계 인증을 사용하고 있는지 확인해야 합니다. 이러한 추가 보안 계층을 통해 사이버 범죄자가 랜섬웨어로 사용자를 공격하는 것이 더 어려워질 수 있습니다. 예를 들어 원격 데스크톱 프로토콜 랜섬웨어 공격을 생각해 보세요. 이러한 경우 공격자는 인터넷에서 취약한 RDP 연결을 검색합니다. 따라서 연결이 비밀번호로 보호되고 2FA를 사용하는 경우 표적이 될 가능성이 훨씬 적습니다.

또한 장치의 운영 체제와 바이러스 백신 프로그램을 항상 최신 상태로 유지해야 합니다. 소프트웨어 업데이트는 시간이 많이 걸리고 짜증스러울 수 있지만 업데이트가 존재하는 이유가 있습니다. 이러한 업데이트에는 장치와 데이터를 보호하기 위한 버그 수정 및 추가 보안 기능이 함께 제공되는 경우가 많으므로 장치를 업데이트할 기회를 놓치지 마십시오.

랜섬웨어 공격을 방지하기 위해 취해야 할 또 다른 중요한 조치는 파일을 백업하는 것입니다. 때로는 랜섬웨어 공격자가 다양한 이유로 필요한 중요한 정보를 숨기는 경우가 있으므로 백업을 하면 피해를 어느 정도 완화할 수 있습니다. USB 스틱에 저장된 것과 같은 오프라인 복사본은 데이터가 도난당하거나 장치에서 삭제될 때 매우 유용할 수 있습니다.

랜섬웨어 감염 후 조치사항

위의 제안 사항은 LockBit 랜섬웨어로부터 사용자를 보호할 수 있지만 여전히 감염 가능성이 있습니다. 따라서 컴퓨터가 LockBit 3.0 바이러스에 감염된 것을 발견한 경우 성급하게 행동하지 않는 것이 중요합니다. 장치에서 랜섬웨어를 제거하기 위해 취할 수 있는 단계가 있으며 이를 주의 깊게 따라야 합니다.

랜섬웨어 공격의 피해자인 경우에도 당국에 통보해야 합니다. 이는 이해관계자가 특정 유형의 랜섬웨어를 더 잘 이해하고 해결하는 데 도움이 됩니다.

LockBit 3.0 랜섬웨어가 피해자를 위협하고 착취하는 데 얼마나 더 많이 사용될지는 아무도 모릅니다. 그렇기 때문에 민감한 데이터를 안전하게 보호하려면 가능한 모든 방법으로 장치와 계정을 보호하는 것이 중요합니다.