LockBit 랜섬웨어 탐지
목차:
비교적 새로운 사이버 위협 분야의 참가자임에도 불구하고, LockBit 랜섬웨어는 빠르게 악명 높은 멀웨어 균주의 명성을 얻었습니다. 2020-2021년 동안 LockBit는 가장 활동적이고 악명 높은 악성 샘플 목록에 지속적으로 포함되었습니다. 이를 달성하기 위해 LockBit 유지는 Ransomware-as-a-Service (RaaS) 모델을 활용하여 더 많은 제휴사를 유치하고 공격을 진행합니다. 또한, 피해자에게 추가적인 압박을 가하고 몸값이 지불될 확률을 높이기 위해 이중 갈취 방식을 적용합니다.
LockBit 랜섬웨어란?
처음에 LockBit 랜섬웨어는 2019년에 “ABCD” 바이러스로 등장했습니다. 이는 모든 암호화된 파일에 추가된 파일 확장자로 인해 발생한 별칭입니다. 그 이후로 멀웨어는 악성 아스날을 크게 발전시키고 확장자를 .lockbit으로 변경했습니다. 현재 LockBit는 지하 포럼에서 활발히 광고되며 RaaS 프로그램의 새로운 멤버를 모집하고 있습니다. 2020년, 연구자들은 LockBit 판매자가 제휴 프로그램을 통해 75,000달러를 벌어들인 것으로 추정했습니다.
Coveware의 분석에 따르면, LockBit는 중소기업부터 대기업 및 정부 기관에 집중하고 있습니다. 그러나 랜섬웨어 유지자들은 고유의 ‘도덕 코드’를 가지고 있으며, 건강 관리, 노동 조합 및 교육과 관련된 조직을 목표로 삼는 것을 피합니다. 또한, 대상 기기의 IP 주소가 독립국가연합에 위치하는 경우 활동을 중단합니다. 이는 러시아 시베리아 지역에 살고 있다고 주장하는 개발자 출신 때문일 수 있습니다. from Coveware, LockBit concentrates its efforts on mid-size to large enterprises as well as government entities. Yet, ransomware maintainers have their own “moral code” and avoid targeting organizations related to health care, labor unions, and education. Moreover, LockBit terminates its activity in case the targeted machine’s IP address locates in the Commonwealth of Independent States. The reason for this might be the origin of the developer, who claims to live in the Siberian region of Russia, according to the Cisco Talos 팀과의 인터뷰에 따르면, LockBit 운영자는 그들의 약속을 따르는 경향이 있으며, 이는 LockBit 비즈니스 모델의 중요한 부분이라고 주장됩니다. 또한 통계는 짧은 복구 시간과 함께 매우 높은 데이터 복구 성공률을 보여줍니다.
그럼에도 불구하고, 도둑들 사이에는 명예가 없으며 LockBit는 점점 더 많은 수익을 위해 주요 기업을 목표로 삼고 있습니다. 주로 미국과 유럽에서 운영되는 IT 회사에 집중되어 있습니다. 랜섬웨어 운영자들은 암호화 전에 민감한 데이터를 훔치는 이중 갈취 방식을 성공적으로 적용합니다. 피해자가 몸값을 지불하도록 유도하기 위해, LockBit 유지자들은 전용 웹사이트에 데이터 덤프와 최신 공격 정보와 관련된 정보를 정기적으로 게시합니다. 주요 미디어도 관련 기업에 소란을 일으켜 그 회사의 비즈니스 파트너들이 사건에 주목하도록 합니다.
Coveware에 따르면, 2021년 5월 기준으로 LockBit 피해자의 평균 몸값 지불액은 57,600달러입니다. 그러나 이는 일반적으로 목표 기업의 범위와 규모에 따라 달라지며, 훨씬 더 클 수 있습니다.
LockBit 공격 방법
LockBit는 감염 과정을 진행하기 위해 다양한 정교한 방법을 사용합니다. 특히 네트워크 내에서 몇 시간 만에 모든 접근 가능한 자산을 암호화하면서 네트워크에 전파되는 자체 확산 멀웨어 균주입니다. 일반적으로 공격자들은 목표 기업을 조사하는 데 며칠 또는 몇 주를 소비합니다. 반면 LockBit는 자동화를 신뢰하고 번개처럼 빠른 침입을 활용합니다. 또한, 멀웨어는 최대 피해를 일으키기 위해 암호화 단계에서 정찰을 진행합니다.
환경에 대한 초기 접근을 얻기 위해 LockBit는 주로 피싱 이메일에 의존합니다. 또한 알려진 취약점 및 RDP 서버가 감염에 일반적으로 사용됩니다. 그 후, 랜섬웨어는 리서치 및 횡적 이동을 위해 Mimikatz, PowerShell 및 Cobal Strike와 같은 도구를 사용하여 정찰 단계에 접어듭니다. SMB, ARP 테이블 및 PowerShell은 전파에 사용됩니다. 마지막으로 LockBit는 일반적으로 Windows Management Instrumentation (WMI) 명령으로 메모리에서 실행되고 암호화를 시작합니다. 즉시 몸값 메모가 호스트의 여러 폴더에 배포됩니다.
LockBit 탐지
이 악명 높은 위협으로부터 회사 인프라를 보호하고 가능한 감염을 방지하기 위해 Threat Bounty 개발자가 Threat Detection Marketplace에서 릴리스한 Sigma 및 YARA 규칙 세트를 다운로드할 수 있습니다.
LockBit 공격 탐지에 전념하는 Threat Detection Marketplace 콘텐츠의 전체 목록은 여기에서.
확인할 수 있습니다. 업계 선도적인 Content-as-a-Service (CaaS) 플랫폼인 Threat Detection Marketplace에 가입하여 위협 탐지를 위한 완전한 CI/CD 워크플로를 지원하는 자격을 갖춘 크로스 벤더 및 크로스 툴 SOC 콘텐츠를 제공합니다. 자신의 탐지 콘텐츠를 제작하고 위협 사냥 활동에 참여하고 싶으신가요? Threat Bounty 프로그램에 참여하여 입력에 대한 보상을 받으세요!
