[IGLOO] ‘록빗(LockBit)’ 그룹 검거로 알아보는 랜섬웨어 생태계

사이버 보안 분야에서 가장 악명 높은 조직인 록빗(LockBit)이 미 국가범죄청을 포함한 10여 개국의 수사 기관에 의해 무력화되었다. 

록빗은 피해자 네트워크가 악성 SW에 감염되면 데이터를 도난하고 시스템을 암호화하는 방식으로 공격을 가해왔다. 

이들이 공격하는 방식은 랜섬웨어(Ransomware)이다

랜섬웨어란?

컴퓨터(피해자)에 침투해 파일 등을 암호화해 사용하지 못하게 하는 악성 프로그램이다. 피해자가 돈을 지불하면 잠긴 파일을 푸는 열쇠를 제공하는 방식으로 수익을 창출한다. 

연도별 랜섬웨어 지불 총액, 2019-2023(출처 : Chainalysis)

 

국내외 많은 사이버 보안 기업들도 랜섬웨어로 인한 피해는 나날이 증가할 것으로 바라보고 있다. 이중 공격과 랜섬웨어 공격기법의 고도화, 서비스형 랜섬웨어 조직의 변화 가속, 가상화 플랫폼을 노리는 랜섬웨어 활개, 제로데이를 악용한 램섬웨어 공격 전략 고도화로 인해 랜섬웨어의 위협은 지속될 것으로 보고 있다. 

랜섬웨어의 유형

랜섬웨어는 크게 암호화 랜섬웨어와 화면 잠금 랜섬웨어로 나누어진다. 

• Leakware/Doxware는 민감한 데이터를 훔치거나 유출하여 게시하겠다고 위협하는 랜섬웨어이다. 
• 모바일 랜섬웨어에는 모바일 장치에 영향을 미치는 모든 랜섬웨어가 포함된다. 악성 또는 드라이브 바이 다운로드를 통해 전달되는 랜섬웨어는 일반적으로 암호화되지 않는 랜섬웨어로, 많은 장치에서 표준으로 사용되는 자동화된 데이터 백업을 통해 공격을 쉽게 되돌릴 수 있다. 
• 와이퍼/파괴적 랜섬웨어는 몸값을 지불하더라도 랜섬웨어가 데이터를 파괴하는 경우를 제외하고 몸값을 지불하지 않으면 데이터를 파괴하겠다고 위협한다. 후자 유형의 와이퍼는 대부분 일반적인 것이 아니라 국가 행위자 또는 활동가에 의한 것으로 의심된다.
• 스카이웨어는 말 그대로 사용자를 겁주어 몸값을 지불하도록 유도하는 랜섬웨어이다. 스케어웨어는 법 집행 기관의 메시지로 가장하여 피해자를 범죄 혐의로 고발하고 벌금을 요구할 수 있고, 합법적인 바이러스 감염 경고를 스푸핑하여 피해자가 바이러스 백신 또는 멀웨어 방지 소프트웨어를 구입하도록 유도할 수 있다. 스케어웨어는 데이터를 암호화하거나 디바이스를 잠그는 랜섬웨어인 경우도 있고, 아무것도 암호화하지 않고 피해자에게 랜섬웨어를 다운로드하도록 강요하는 랜섬웨어 벡터인 경우도 있다. 

 

랜섬웨어가 시스템 또는 장치를 감염시키는 방법

• 피싱 이메일 및 기타 소셜 엔지니어링 공격: 피싱 이메일은 사용자가 악성 첨부 파일을 다운로드하고 실행하도록 조작한다. 이 첨부 파일에는 해가 없어 보이는 .pdf, Microsoft Word 문서 또는 기타 파일로 위장한 랜섬웨어가 포함되어 있을 수 있습니다. 또한 사용자의 웹 브라우저를 통해 랜섬웨어를 전달하는 악성 웹 사이트를 방문하도록 사용자를 유인할 수 있습니다. 
• 운영 체제 및 소프트웨어 취약점: 사이버 범죄자는 기존 취약점을 악용하여 장치나 네트워크에 악성 코드를 삽입하는 경우가 많다. 보안 커뮤니티에 알려지지 않았거나 식별되었지만 아직 패치되지 않은 취약점인 제로데이 취약점은 특정 위협을 제기한다.
• 자격 증명 도용: 사이버 범죄자는 승인된 사용자의 자격 증명을 도용하거나, 다크 웹에서 구매하거나, 무차별 대입으로 해킹할 수 있다. 이후, 그런 다음 이러한 자격 증명을 사용하여 네트워크 또는 컴퓨터 및 랜섬웨어에 직접 로그인할 수 있다. 사용자가 컴퓨터에 원격으로 액세스할 수 있도록 Microsoft에서 개발한 독점 프로토콜인 RDP(원격 데스크톱 프로토콜)는 랜섬웨어 공격자들 사이에서 인기 있는 자격 증명 도용 대상이다.
• 기타 멀웨어: 해커는 대부분 다른 공격을 위해 개발된 멀웨어를 사용하여 장치에 랜섬웨어를 전달한다. 
• 드라이브 바이 다운로드: 해커는 웹 사이트를 사용하여 사용자 모르게 장치에 랜섬웨어를 전달할 수 있다. 취약성 키트는 손상된 웹 사이트를 사용하여 방문자의 브라우저에서 장치에 랜섬웨어를 주입하는 데 사용할 수 있는 웹 애플리케이션 취약성을 검사한다.

랜섬웨어 공격 단계 

 

랜섬웨어 보호 및 대응

• 민감한 데이터와 시스템 이미지의 백업은 네트워크에서 분리할 수 있는 하드 드라이브나 기타 장치에 보관한다.
• 정기적으로 패치를 적용하여 랜섬웨어 공격을 차단한다
• 맬웨어 방지 및 바이러스 백신, 방화벽 등 사이버 보안 도구를 업데이트한다. 
• 다단계 인증, 네트워크 세분화 등 액세스 제어 정책을 구현한다. 

랜섬웨어로 공격하는 조직들을 완전히 무력화시키긴 어렵다. 랜섬웨어로 인한 공격도 증가할 것으로 보이니, 랜섬웨어 보호 및 대응에 더욱 신경 써야 한다는 생각이 들었다. 

 

 

 

[출처]

1. https://www.igloo.co.kr/security-information/%EB%A1%9D%EB%B9%97lockbit-%EA%B7%B8%EB%A3%B9-%EA%B2%80%EA%B1%B0%EB%A1%9C-%EC%95%8C%EC%95%84%EB%B3%B4%EB%8A%94-%EB%9E%9C%EC%84%AC%EC%9B%A8%EC%96%B4-%EC%83%9D%ED%83%9C%EA%B3%84/

2. https://www.ibm.com/kr-ko/topics/ransomware