LockBit 2.0 랜섬웨어 탐지: 새 공격 기술 및 암호화 방법으로 악명 높은 위협 재출현

LockBit 운영자들이 빠르게 가속하고 있습니다. 이 조직은 2019년부터 사이버 보안 전문가들의 레이더에 포착되었으며, LockBit 랜섬웨어 2.0 버전을 2021년 6월에 출시하면서 개조되었습니다. 2022년 2월 7일 연방 수사국(FBI) 는 IOC를 공개하였습니다, LockBit 2.0 랜섬웨어 공격에 대한 경고를 발했습니다. 현재 데이터에 따르면 이번 캠페인은 빠른 데이터 유출과 민감한 정보 노출이 특징입니다.

LockBit 2.0 업그레이드

2021년 여름부터 LockBit 그룹은 새로운 제휴자를 활발하게 찾고 있습니다. 채용 프로그램은 성공적으로 진행되었으며, LockBit 조직에 의해 영향을 받은 기업의 수는 점차 증가했습니다. 새로운 공격 기법과 효율적인 갈취 방법에 피해를 입은 기업들에는 Fortune 500 리스트의 기업들, 대학, 그리고 헬스케어 시설을 포함한 모든 규모의 조직이 포함됩니다. 최근 업데이트로 인해 적들은 Active Directory 그룹 정책을 악용하여 윈도우 도메인 전반에 걸쳐 기기를 자동으로 암호화할 수 있게 되었습니다. LockBit 2.0은 2021년 8월 내부 소식통을 모집하기 시작하여 기업 네트워크에 초기 접근을 확보하고 성공적인 공격의 일부 수익을 약속했습니다.

LockBit 2.0 킬 체인

LockBit 2.0은 제휴자 기반의 Ransomware-as-a-Service (RaaS)로 운영되며, 다양한 전술, 기술, 절차(TTP)를 채택하여 방어 및 완화의 효과성을 모호하게 합니다. 적대자들은 미패치 취약점의 악용, 내부 접근 및 제로데이 취약점의 악용과 같은 악의적 접근을 채택합니다. 또한 LockBit 운영자는 피싱 기술과 RDP 계정의 무차별 대입을 통해 타사 해커에 의해 손상된 취약한 대상에 대한 접근을 구매하는 것으로 알려져 있습니다.

네트워크가 침해되면, 제휴자들은 Mimikatz와 같은 맞춤형 및 합법적인 애플리케이션을 활용하여 피해자의 인증 자격 증명을 탈취합니다. LockBit 2.0은 시스템과 사용자 언어 설정을 분석하여 동유럽 언어 목록과 일치하지 않는 경우에만 공격 대상이 됩니다. 랜섬웨어 애플리케이션은 기기에서 동유럽 언어가 감지되면 감염을 확산시키지 않으며, 이는 유지 관리자의 출처를 가리킵니다. LockBit 2.0은 로그 파일과 섀도 복사본을 목표로 하고 있으며, 로컬 및 원격 드라이브의 모든 데이터를 암호화하는 것을 목표로 시스템 정보를 수집합니다. 핵심 시스템 기능에 필요한 파일은 제외됩니다. 자가전파 멀웨어는 암호화 작업이 완료된 후 디스크에서 스스로 삭제됩니다. 가해자들은 항상 피해를 입은 각 디렉터리에 복호화 소프트웨어를 얻는 방법을 설명하는 랜섬 노트를 남기며, 몸값을 지불하지 않으면 도직 사이트에 도난당한 민감한 정보를 게시하겠다고 위협합니다.

LockBit 2.0은 또한 VMWare ESXi 가상 머신의 취약점을 악용하는 Linux 기반 멀웨어를 개발했습니다.

LockBit 2.0 멀웨어 탐지

LockBit 2.0의 새로운 세대가 빠르게 시장에서 주목받고 있으며, 전 세계 산업에 큰 부담을 주고 있습니다. 이 위협으로부터 보호하기 위해, 숙련된 Threat Bounty 개발자들이 배포한 Sigma 규칙 세트를 다운로드할 수 있습니다 Nattatorn Chuensangarun and Kaan Yeniyol:

LockBit 2.0 랜섬웨어 GPO 정책 강제 실행 (프로세스 생성 통해)

레지스트리를 통해 LockBit 2.0 랜섬웨어 탐지

LockBit 2.0 랜섬웨어 네임드 파이프

LockBit 공격 탐지를 위한 Threat Detection Marketplace 콘텐츠의 전체 목록은 여기. 

에서 확인할 수 있습니다. 또한, 산업 지침: 랜섬웨어 공격 방어 을 Vlad Garaschenko, SOC Prime의 CISO가 제공한 이 지침은 랜섬웨어 방어를 위한 모범 사례를 다루며 랜섬웨어 통계, 주요 트렌드, 및 주요 랜섬웨어 갱이 적용하는 전술, 기술 및 절차(TTP)에 대한 심층 개요를 제공합니다.

랜섬웨어 행위자들보다 한 걸음 앞서 나가려면, 전용 랜섬웨어 탐지 규칙 팩 을 SOC Prime에서 다운로드할 수 있습니다. 이 팩은 Ruyk, DoppelPaymer, Conti, LockBit, Avaddon 등과 같은 악의적인 샘플을 탐지할 수 있는 35개 이상의 탐지를 집계하고 있습니다. 모든 규칙은 MITRE ATT&CK® 프레임워크에 직접 매핑되고 이에 상응하는 위협 컨텍스트 및 인텔리전스로 풍부하게 제공됩니다.

SOC Prime의 Detection as Code 플랫폼에 무료로 가입하여 최고의 실무 및 공유 전문 지식을 통해 SOC 운영을 간소화하세요. 직접 탐지 콘텐츠를 제작하고 위협 사냥 활동에 참여할 준비가 되셨나요? 전 세계 사이버보안 커뮤니티의 힘을 활용하여 자신의 기여를 금전화하세요.

플랫폼으로 이동 Threat Bounty에 참여