BQTLOCK 랜섬웨어 탐지: 새로운 RaaS 운영자들이 고급 탐지 회피 기법 활용
목차:
Ransomware-as-a-Service (RaaS)는 다크웹 포럼과 텔레그램 같은 인기 메신저 플랫폼에서 홍보되는 확산 중인 사이버 범죄 모델로, 개발자가 랜섬웨어와 인프라를 구독 또는 수익 공유 방식으로 제휴자에게 임대하는 형태입니다. 새롭게 발견된 랜섬웨어 변종인 BQTLOCK은 2025년 여름 중반부터 활동을 시작했으며, 완전한 RaaS 모델을 통해 배포되며 탐지 및 포렌식 조사를 방해하기 위해 다수의 안티-분석 기법을 적극 활용하고 있습니다.
BQTLOCK 랜섬웨어 공격 탐지
랜섬웨어는 점점 더 정교해지고 영향력이 커지며, 새로운 변종과 재활용된 구형 변종들이 지속적으로 등장하고 있습니다. 그중 하나가 비교적 최근 등장한 Crypto24 랜섬웨어 그룹으로, 미국, 유럽, 아시아의 주요 조직들을 공격하고 있습니다.
2025년 Verizon DBIR 보고서에 따르면 랜섬웨어는 전체 침해 사고의 44%를 차지하며, 이는 지난해 32%에서 증가한 수치입니다. 주요 동인은 RaaS로, 공격자가 코딩 기술 없이도 스트리밍 서비스처럼 구독을 통해 즉시 사용할 수 있는 랜섬웨어에 접근할 수 있게 합니다. BQTLOCK이라는 새로운 랜섬웨어 변종이 RaaS로 운영되며 고급 회피 기법을 사용하는 만큼, 조직들은 선제적 방어를 강화하여 공격을 사전에 차단해야 합니다.
SOC Prime Platform 등록을 통해 기업의 사이버 보안 태세를 미래지향적으로 강화하고, 최고 수준의 전문성과 AI 기반 엔터프라이즈 보호를 활용하십시오. 이 플랫폼은 보안팀에 AI 네이티브 위협 인텔리전스와 선별된 탐지 알고리즘을 제공하며, AI 기반 탐지 엔지니어링, 자동화된 위협 헌팅, 고급 위협 탐지를 위한 종합 제품군으로 지원합니다. Explore Detections 버튼을 클릭하면 BQTLOCK 관련 랜섬웨어 활동을 다루는 컨텍스트 강화 탐지 규칙 모음을 확인할 수 있습니다.
모든 탐지 규칙은 다양한 SIEM, EDR 및 Data Lake 솔루션에 적용 가능하며 MITRE ATT&CK®에 정렬되어 있습니다. 각 규칙은 CTI 링크, 공격 타임라인, 트리아지 권장 사항 등 광범위한 메타데이터로 보강됩니다.
보안 엔지니어는 “Ransomware” 태그를 활용해 전 세계 랜섬웨어 공격을 다루는 포괄적인 탐지 규칙 스택을 활용할 수도 있습니다.
또한 팀은 최신 SOC Prime Platform 릴리스에 포함된 Uncoder AI를 활용할 수 있으며, 이제 AI Chat Bot과 MCP 도구를 통해 보안팀이 위협 탐지 작업을 엔드-투-엔드로 관리하도록 지원합니다. 예를 들어, Uncoder AI를 사용하면 보안 전문가가 Attack Flow를 즉시 시각화하거나 K7 Security Labs 연구에 기반한 IOC를 검색할 수 있습니다.
BQTLOCK 랜섬웨어 분석
RaaS 모델로 운영되는 새롭게 등장한 BQTLOCK 랜섬웨어는 친(親)팔레스타인 해커 그룹 Liwaa Mohammed의 리더로 알려진 ZerodayX와 연계되었으며, 악명 높은 사우디 게임 데이터 유출 사건과 관련이 있는 것으로 보고되었습니다. 2025년 7월 중순 이후 BQTLOCK은 다수의 안티-분석 기술을 통합한 더 정교한 변종으로 발전했습니다.
최신 K7 Security Labs 심층 분석에 따르면, BQTLOCK은 Starter, Professional, Enterprise 플랜으로 구성된 단계별 RaaS 구독 모델을 사용하며, 랜섬노트 편집, 배경화면 변경, 파일 확장자 설정, 문자열 난독화, 디버거 탐지, 가상 머신 회피와 같은 맞춤형 안티-분석 기능을 제공합니다.
ZIP 아카이브 내 Update.exe 실행 파일을 통해 배포되며, 로컬 파일을 암호화하고 .bqtlock 확장자를 추가한 뒤 랜섬노트를 드롭합니다. 또한 Discord 웹훅을 통해 C2로 민감 데이터를 유출합니다. 실행 시 호스트 이름, IP, 하드웨어 세부 정보, 디스크 공간을 수집하여 시스템 정찰을 수행한 후 지속성을 확보하고 암호화를 시작합니다.
모든 거래는 Monero (XMR)로 이루어집니다. 랜섬노트는 이중 갈취(double extortion) 모델을 따르며, 피해자는 48시간 내 Telegram 또는 X를 통해 연락해야 하며, 최대 40 XMR(약 10,000달러)을 요구받습니다. 지불하지 않을 경우 금액이 두 배로 증가하고, 7일 후에는 복호화 키가 파기되며 탈취된 데이터가 공격자의 사이트에 공개 또는 판매됩니다.
ZerodayX는 BQTLOCK을 안티바이러스에 탐지되지 않는 FUD(Fully Undetectable) 랜섬웨어로 홍보하지만, 실제 배포 샘플은 손상된 ISO 파일이었으며, VirusTotal에 레바논에서 단 한 번만 제출되었습니다. 이는 개발자 또는 내부 관계자가 업로드했을 가능성이 크며, 주장된 FUD 능력에 의문을 제기합니다.
BQTLOCK은 SeDebugPrivilege를 활성화하여 권한을 상승시키고 explorer.exe에 프로세스 할로잉을 수행하여 악성 코드를 정당한 프로세스 내부에 숨깁니다. 지속성을 위해 예약 작업을 생성하고 백도어 관리자 계정을 추가합니다. 최신 변종은 CMSTP.exe, fodhelper.exe, eventvwr.exe 레지스트리 트릭을 활용한 UAC 우회를 통해 사용자 알림 없이 권한 상승을 수행합니다.
개발자는 네 차례 빠른 릴리스 후 최종 업데이트로 버전 4를 발표했지만, 실제 종료인지 리브랜딩인지는 의문입니다. Telegram 채널이 차단된 후 3일간 무료 접근을 제공하고, BAQIYAT.osint라는 유료 데이터 검색 툴을 도입했습니다. 2025년 8월 5일 발견된 최신 변종은 주요 브라우저(Chrome, Firefox, Edge, Opera, Brave)를 대상으로 한 고급 자격 증명 탈취 기능을 추가해 위협 수준을 더욱 높였습니다.
랜섬웨어 공격 위험이 증가하고 고급 공격 기법을 사용하는 새로운 RaaS 운영자가 등장함에 따라, 방어자의 초고속 대응이 최우선 과제가 되었습니다. SOC Prime은 AI, 자동화, 실시간 위협 인텔리전스로 지원되는 완전한 제품군을 큐레이션하여 전 세계 조직들이 방어 역량을 강화하도록 지원합니다.
