Akamai는 온라인 비즈니스를 지원하고 보호하는 사이버 보안 및 클라우드 컴퓨팅 기업입니다. 시장을 대표하는 보안 솔루션, 탁월한 위협 인텔리전스, 글로벌 운영팀이 어디서나 기업 데이터와 애플리케이션을 보호하기 위한 심층적 방어 기능을 제공합니다. Akamai의 풀스택 클라우드 컴퓨팅 솔루션은 세계에서 가장 분산된 플랫폼에서 성능과 경제성을 제공합니다. 글로벌 기업들은 비즈니스 성장에 필요한 업계 최고의 안정성, 확장성, 전문성을 제공하는 Akamai를 믿고 신뢰합니다.
LockBit 랜섬웨어는 컴퓨터의 파일을 암호화하는 사이버 공격의 한 종류로, 공격자가 암호 해독 키의 대가로 랜섬 지불을 요구할 수 있습니다. 원래 'ABCD 랜섬웨어'로 알려진 LockBit 랜섬웨어는 2020년 1월부터 활동을 시작했습니다. LockBit를 개발한 사이버 범죄자들은 이를 RaaS(Ransomware as a Service)로 제공했고 제휴사가 멀웨어를 활용해 랜섬웨어 공격을 수행한 후 랜섬웨어 수익의 일정 비율을 지불합니다.
LockBit는 2022년에 세계에서 가장 빈번하게 발생한 랜섬웨어였으며, 2024년까지 누적 피해자는 2천 명을 초과하며 1억 2천만 달러 이상의 랜섬을 거두었습니다. LockBit 운영은 미국, 캐나다, 인도, 브라질 및 기타 여러 국가의 헬스케어, 교육, 금융, 정부, 기술, 자동차, 리테일 기업 등 다양한 업계의 기업과 단체를 표적으로 삼았습니다. (인용 출처)
2024년 2월, 법 집행 기관은 LockBit 랜섬웨어 단체와 관련된 러시아 국적의 2명을 기소하고 LockBit 범죄 단체와 관련된 여러 웹사이트를 압류함으로써 공격자가 멀웨어를 사용해 파일을 암호화하고 피해자를 갈취하는 것을 막았습니다. 그러나 해체된 지 며칠 만에 LockBit 갱단은 서버를 복원하고 소프트웨어를 다시 가동할 수 있었습니다.
LockBit 랜섬웨어 공격의 작동 방식
LockBit 랜섬웨어는 다양한 기술과 기법을 사용해 시스템에 접속하고 파일을 암호화합니다.
- 감염. LockBit 랜섬웨어는 피싱 이메일을 통해 IT 환경에 대한 초기 접속을 달성하거나, 소프트웨어 취약점을 악용하거나, 탈취된 인증정보를 사용해 VPN, 원격 데스크톱 프로토콜(RDP) 또는 기타 진입 지점을 통해 시스템에 접속합니다. LockBit 갱단 역시 계정 인증정보를 제공하거나 네트워크 내부에서 공격을 개시하는 대가로 내부자를 매수하려고 시도합니다.
- 전파. LockBit 그룹은 접속 권한을 얻은 후 Windows PowerShell 및 PsExec과 같은 툴과 측면 이동 기술을 사용해 네트워크를 탐색하고 가치가 높은 표적을 식별합니다. 또한 LockBit은 자체 전파 기능을 통해 자체적으로 확산되어 공격자의 개입 없이 IT 환경에서 접속 가능한 호스트를 추가로 찾을 수 있습니다.
- 준비. LockBit 멀웨어는 악용 후 툴을 사용해 계정 권한을 얻고, 그룹 정책을 업데이트하며, 파일을 암호화하기 전에 다양한 조치를 취합니다. 이러한 조치로, 피해자가 데이터를 복구할 수 있는 보안 프로그램 및 툴을 비활성화하는 활동이 포함됩니다. 이 단계의 목표는 피해자가 랜섬을 지불하지 않고는 데이터에 다시 접속할 수 없도록 하거나 이를 차단하는 것입니다.
- 탈취. LockBit의 이후 버전은 표적 파일을 외부 서버로 유출하도록 설계되어 해커가 유출 사이트에 민감한 데이터를 게시하겠다고 위협해 피해자를 갈취합니다.
- 암호화. 준비가 완료되면 랜섬웨어 페이로드가 파일을 암호화해 피해자가 암호 해독 키 없이 파일에 접속하지 못하도록 효과적으로 차단합니다. 또한 소프트웨어는 모든 시스템 폴더에 랜섬 메시지 사본을 남깁니다. LockBit 랜섬웨어는 다양한 기술과 기법을 사용해 시스템에 접속하고 파일을 암호화합니다.
- 이중 갈취. LockBit 랜섬웨어의 이후 버전에서는 데이터 유출을 위한 툴을 제공하므로 LockBit 운영자는 파일에 대한 접속을 복원하기 위해 랜섬을 요구하고 도난당한 데이터를 다크 웹의 Tor 사이트에 유출하지 않는 대가로 또 다른 랜섬을 요구해 이중으로 갈취할 수 있습니다.
LockBit 랜섬웨어의 변종
LockBit 랜섬웨어 바이러스는 수년에 걸쳐 빠르게 진화했습니다. LockBit 코드를 사용하는 랜섬웨어는 2019년에 처음 관측되었습니다. 소프트웨어의 초기 버전은 파일 확장자 '.ABCD'를 사용해 파일 이름을 변경했습니다.
- 2020년 1월: 'LockBit'를 확장 프로그램으로 사용하는 랜섬웨어 변종은 러시아어 기반의 사이버 범죄 포럼에서 처음 발견되었습니다.
- 2021년 6월: LockBit 버전 2(LockBit 2.0)가 출시되었으며, 'StealBit'라는 정보를 훔치는 툴이 내장되어 있습니다.
- 2021년 10월: LockBit 1.0의 Linux-ESXi Locker 버전은 랜섬웨어의 시스템 표적을 Linux 및 VMware ESXi로 확장했습니다.
- 2022년 3월: Black Matter 및 ALPHV 또는 BlackCat 랜섬웨어와 유사점을 공유하는 새로운 변종으로 LockBit 3.0(LockBit Black)이 출현했습니다.
- 2023년 1월: LockBit Green 변종은 Conti 랜섬웨어의 소스 코드를 통합했습니다.
- 2023년 4월: MacOS를 표적으로 삼는 LockBit 랜섬웨어 암호화 툴이 VirusTotal에서 확인되었습니다.
LockBit 랜섬웨어 방어
LockBit 랜섬웨어 및 기타 형태의 랜섬웨어를 방어하기 위해 FBI 및 CISA와 같은 사법 기관과 사이버 보안 기관은 기업이 몇 가지 모범 사례를 도입할 것을 권장합니다.
- 멀티레이어 방어: 랜섬웨어 방어에는 안티바이러스 및 안티랜섬웨어 소프트웨어, 엔드포인트 탐지 및 대응(EDR) 툴, 보안 인식 교육이 포함되며, 사용자가 소셜 엔지니어링 및 피싱 공격을 인식할 수 있도록 돕습니다. 보안팀은 랜섬웨어 제거 툴을 사용해 LockBit 코드 시스템을 정상화할 수도 있습니다.
- 네트워크 세그먼테이션. 네트워크와 개별 자산을 세그멘테이션하면 LockBit 랜섬웨어와 공격자가 초기 접속 권한을 얻은 후 시스템을 측면 이동하는 능력이 줄어듭니다.
- 강력한 접속 제어. 멀티팩터 인증(MFA) 및 강력한 비밀번호를 사용하면 시스템으로 공격자의 무단 접속을 방지할 수 있습니다.
- 정기 백업. 파일을 정기적으로 백업하고 오프라인 백업에 중요한 데이터의 사본을 저장하는 기업은 랜섬을 지불하지 않고 복구를 수행할 수 있습니다.
- 취약점 관리. 공격자가 악용할 수 있는 취약점을 수정하려면 소프트웨어와 운영 체제를 정기적으로 업데이트하고 패치를 적용해야 합니다. 서버 메시지 블록(SMB) 프로토콜 또는 RDP를 사용하는 Microsoft Windows 및 Linux와 같은 소프트웨어에 특히 중요합니다.
- 지속적인 모니터링. 고급 위협 탐지 툴을 사용하고 강력한 인시던트 대응 계획을 도입하면 LockBit 랜섬웨어 공격을 신속하게 탐지하고 피해를 최소화하며 복구 속도를 높일 수 있습니다.
자주 묻는 질문(FAQ)
랜섬웨어는 시스템을 감염시키고 IT 네트워크의 컴퓨터와 서버에 있는 파일을 암호화하는 악성 소프트웨어 또는 멀웨어의 한 형태입니다. 이를 통해 공격자는 피해자의 데이터에 대한 접속을 복원하는 암호 해독 키를 대가로 랜섬 지불을 요구할 수 있습니다. 랜섬웨어 위협은 최근 몇 년 동안 급격히 증가했으며, 오늘날 거의 모든 업계의 기업에서 가장 위험하면서도 비용이 많이 드는 사이버 공격 형태입니다.
RaaS(Ransomware as a Service) 비즈니스 모델에서 랜섬웨어 운영자는 공격을 감행하는 제휴사에 멀웨어를 임대하고 제휴사는 랜섬 수익의 일부를 운영자에게 지불합니다. LockBit 제휴사의 수가 많아 LockBit 랜섬웨어 운영의 기술, 기법 및 절차(TTP) 사용 방식이 다양하므로 보안팀이 공격을 탐지하고 방어하기가 더욱 어렵습니다.