멀웨어 랜섬 갱 락비트 수수께끼

컨텍스트

2019년 9월에 공식적으로 데뷔한 LockBit 랜섬웨어 바이러스는 암호화된 피해 파일을 표시하기 위해 .abcd 접미사를 사용하여 "ABCD" 랜섬웨어라고 불렀습니다. 초기 버전의 LockBit 1.0은 매우 미숙했으며 암호화 소프트웨어가 프로세스에서 고정 상호 제외 잠금을 사용했을 뿐만 아니라 바이러스 백신 소프트웨어, 샌드박스 및 기타 보안 소프트웨어에서 쉽게 인식하고 가로챌 수 있는 일부 디버그 기능도 남겨두었습니다.

조직의 규모가 커짐에 따라 LockBit 1.0은 다른 악의적 공격자들이 사용할 수 있도록 랜섬웨어 도구를 개발 및 배포하는 RaaS(서비스형 랜섬웨어 및 서비스) 모델로 운영되기 시작했고, 저명한 러시아어 포럼인 XSS에서 협력 프로그램을 홍보하기 시작했습니다.

8개월 후, LockBit 1.0 랜섬웨어 운영자들은 '이중 몸값'을 목적으로 피해자를 더욱 압박하기 위해 파일 암호화와 함께 피해자의 데이터를 공개하는 사이트를 만들어 랜섬웨어 전술을 업그레이드했습니다.

몇 번의 사소한 업그레이드를 거친 후, LockBit 1.0은 다른 랜섬웨어보다 더 정교해졌습니다. Windows 시스템의 암호화 프로세스는 RSA + AES 알고리즘을 사용하여 파일을 암호화하고 IOCP 완료 포트 + AES-NI 명령어 집합을 사용하여 효율성을 향상시켜 고성능 암호화 프로세스를 달성하며 파일이 성공적으로 암호화되면 모든 피해자의 파일에 깨지지 않는 .abcd 확장자가 추가됩니다.

주로 피해자의 시스템 바탕 화면 배경 화면을 수정하여 몸값 메시지를 표시하고, 피해자에게 다크 웹에 로그인하여 비트코인 또는 먼로 코인으로 몸값을 지불하라는 Restore-My-Files.txt라는 몸값 메모를 남기는 방식으로 LockBit 랜섬웨어 1.0을 실행합니다.

이 그룹은 이후 몇 가지 유명한 공격으로 유명해졌습니다. 예를 들어, 2022년 6월에는 LockBit 버전 3.0을 출시하고 보안 연구원을 초대하여 소프트웨어를 테스트하고 개선하는 취약점 포상금 프로그램을 포함시켰습니다. 시스템 취약점 발견에 대한 보상을 제공하는 것은 랜섬웨어의 독특한 접근 방식입니다.

락빗은 사업을 시작한 이래로 다음과 같은 분야에서 상당한 기여를 해왔습니다.사이버 보안공격으로 인해 민감한 데이터가 도난당하고 피해를 입은 당사자에게 금전적 손실이 발생하는 등 그 영향은 상당했습니다.

"화려한" 역사

2022년 5월까지 락빗은 전 세계 850개 이상의 기업 조직의 방어 체계를 뚫고 같은 기간 전체 랜섬웨어 관련 공격의 46%를 차지하며 거의 고공행진을 이어가고 있습니다.

RaaS 에이전트 모델:

공격 스타일:

사이버 보안 회사 Dragos에 따르면, 2022년 2분기에 산업 시스템을 대상으로 한 랜섬웨어 공격의 약 1/3이 LockBit에 의해 시작되었으며, 산업 제어 분야의 여러 대형 조직을 공격했습니다. 그리고 Deep Instinct는 2022년 상반기 전체 랜섬 공격 중 약 44%를 LockBit이 시작했다고 보고했습니다.

록빗 랜섬웨어 조직은 불과 3년 만에 베테랑 랜섬웨어 그룹인 콘티의 2배, 레빌의 5배가 넘는 천 명 이상의 피해자를 발생시켰습니다.

또한 LockBit 랜섬 조직의 몸값 획득률이 기존의 많은 랜섬 조직보다 높다는 점도 주목할 가치가 있습니다. 2022년 수치를 보면, 1억 달러의 몸값 요구 중 절반 이상의 몸값 성공률을 기록하여 수많은 기업을 겁에 질리게 하고 있습니다.

현상 유지

이 때문에 이 그룹은 전 세계 법 집행 기관의 주목을 받고 있습니다.2022년 11월 미국 법무부(DoJ)는 러시아와 캐나다 이중 국적을 가진 미하일 바실리예프를 LockBit 랜섬웨어 작전에 관여한 혐의가 있다며 기소했습니다. 그는 현재 캐나다에 구금되어 있으며 미국으로의 신병 인도를 기다리고 있습니다.

지난 5월, 러시아 국적의 미하일 파블로비치 마트베예프(30)는 여러 차례 랜섬웨어 공격에 가담한 혐의로 미국 법무부에 의해 기소되었습니다(와자와카, m1x, 보리셀신, 우호디란섬워로도 알려져 있음).

미국 법무부는 이 남성이 세 가지 유형의 랜섬웨어를 사용하여 워싱턴 DC와 뉴저지의 법 집행 기관과 의료 및 기타 분야의 조직을 포함하여 미국 전역의 수많은 피해자를 공격한 혐의로 기소된 두 건의 기소를 발표했습니다:

• 2020년 6월 25일경, 마트베예프와 그의 LockBit 공범들은 뉴저지 패사이크 카운티의 법 집행 기관을 공격했습니다;
• 2021년 4월 26일, 마트베예프와 그의 부하 바북은 워싱턴 DC의 메트로폴리탄 경찰청을 공격한 사건에 연루되었습니다;
• 2022년 5월 27일경, 마베예프와 그의 하이브 공모자들은 뉴저지에 있는 비영리 행동 건강 관리 단체를 공격했습니다.
• 2024년 2월 19일, 영국 국가범죄청(NCA), 미국 연방수사국(FBI), 유로폴, 국제경찰기구연합(ICAPA)의 합동 법 집행 작전으로 악명 높은 랜섬웨어 조직인 락비트 웹사이트가 압수수색을 당했습니다.

treasury.gov는 인사 정보, BTC 및 ETH 주소 등 관련 제재 정보를 게시합니다:

미스트트랙을 사용하여 제재된 이더리움 주소(0xf3701f445b6bdafedbca97d1e477357839e4120d)의 자금 조달을 살펴봤습니다:

분석 결과 해당 이더리움 주소의 자금이 세탁된 것으로 밝혀졌습니다.

이후 제재된 BTC 주소의 현황을 분석한 결과, 해당 주소의 가장 초기 거래는 2019년 10월, 가장 최근 거래는 2023년 3월로 거슬러 올라가며 각 주소에서 관련 자금이 이체된 것으로 확인되었습니다.

가장 많은 금액을 받은 주소는 미스트트랙이 바이낸스 입금 주소로 표시한 락비트 계열사 아르투르 성가토프의 주소인 18gaXypKj9M23S2zT9qZfL9iPbLFM372Q5로, 자금이 이체된 것으로 확인되었습니다.

둘째, 52.7892 BTC의 금액은 32pTjxTNi7snk8sodrgfmdKao3DEn1nVJM 주소로 수신되었는데, 이는 록빗의 계열사인 이반 콘드라티예프의 주소이며 미스트트랙이 쿠코인 입금 주소로 표시한 주소이며, 또 다른 제재된 0.4323 BTC의 이체는 bc1qx9upga7f09tsetqf78wa3qrmcjar58mkwz6ng6에서 수신했습니다. 주소 BC1QX9UPGA7F09TSETQF78WA3QRMCJAR58MKWZ6NG6에서 0.4323 BTC를 전송했습니다.

미국 정부는 영국 및 유로폴과 함께 락빗 랜섬웨어 조직에 대한 자세한 정보를 공개했으며, 락빗이 193개의 지사를 보유하고 있다고 밝혔습니다:

체포의 미스터리

영국 국가범죄청 대변인에 따르면, 현재 진행 중인 작전의 일환으로 LockBit의 서비스가 중단되었다고 합니다. 이 작전은 법 집행 기관과 랜섬 조직 간의 다년간에 걸친 싸움의 최신작으로, 최근 LockBit의 다국적 랜섬 작전에 강력한 타격을 가하고 증가하는 랜섬 공격을 효과적으로 억제하는 역할을 하고 있습니다.

록빗의 노드를 살펴보면, 알려진 모든 록빗 랜섬웨어 조직 웹사이트는 오프라인 상태이거나 유로폴에 의해 압수된 페이지를 표시하고 있습니다. 법 집행 기관은 작전 크로노스로 알려진 최소 22개의 토르 사이트를 압수하거나 해체했습니다.

이후 락빗 랜섬웨어 그룹 경영진은 언론에 자신들의 웹사이트가 압수되었다는 사실을 확인했습니다:

그러나 LockBit 랜섬웨어 조직이 Tox에서 개인에게 "FBI가 PHP를 사용하는 서버를 건드렸고, PHP가 없는 대체 서버는 영향을 받지 않았다"는 메시지를 게시했기 때문에 압수수색이 LockBit의 핵심 직원에게는 영향을 미치지 않은 것으로 보입니다.

오늘 록빗 경영진은 2024년 2월 23일 금요일에 발표될 것이라는 사법 당국의 발표에 대해 록빗 랜섬웨어 조직의 경영진과 이야기를 나눴습니다.

LockBit은 "내 정체를 모를 테니 공개하라"고 답했습니다. 그 후 LockBit 랜섬웨어 그룹은 법 집행 기관을 조롱하기 위해 이름을 "FBI Supp"로 변경했습니다:

vxunderground에 따르면, 락빗이 공개적으로 더 큰 보상금을 제시하고 있지만 최종 주범은 잡히지 않은 것으로 보인다고 합니다.

이 시점에서 법 집행 기관이 앞으로 며칠 내에 LockBit 조직에 대한 더 많은 정보를 공개할 것이라고 주장하는 등 이야기는 점점 더 나아지고 있습니다.

그 여파는 어떻게 될까요? 두고 봐야죠.

요약

이번 단속은 랜섬웨어 조직에 대한 일련의 법 집행 이니셔티브 중 가장 최근의 조치입니다. 작년 말, FBI와 다른 기관들은 Qakbot과 Ragnar Locker를 비롯한 여러 랜섬웨어 조직의 네트워크와 인프라를 성공적으로 해체한 바 있습니다.

최근 뮌헨 사이버 보안 컨퍼런스에서 미국 법무부 차관은 랜섬웨어 및 사이버 범죄와 싸우기 위한 미국의 노력을 강조하며 이러한 범죄 활동을 예방하고 방해하는 데 초점을 맞춘 보다 신속하고 적극적인 전략을 채택할 것이라고 밝혔습니다.

디지털 기술의 발달과 함께 암호화폐를 이용한 사이버 범죄는 전 세계적으로 큰 문제가 되고 있습니다. 랜섬웨어와 같은 사이버 범죄는 개인과 기업에 손실을 가져올 뿐만 아니라 사회 전체에 심각한 위험을 초래합니다. 통계에 따르면 작년에 사이버 범죄자들은 전 세계 피해자들로부터 11억 달러 이상을 갈취했습니다.

또한 랜섬웨어 거버넌스는 인내심과 전략, 타이밍이 필요한 사이버 공격자와 보안 담당자 간의 싸움입니다.

락빗 랜섬웨어를 예로 들면, 공격 방법, 전략, 침입 지점 등 각 버전을 계속 반복적으로 업데이트하기 때문에 보안 담당자가 완벽한 복구 시스템을 구축하기 어렵습니다. 따라서 랜섬웨어 거버넌스 과정에서 복구보다 예방이 훨씬 더 중요하며 체계적이고 포괄적 인 정책, 체계적인 거버넌스, 다자간 공동 접근 방식을 취하여 랜섬웨어를 방지하기위한 울타리를 형성해야하며 다음과 같은 보호 조치를 취할 것을 강력히 권장합니다:

가능하면 복잡한 비밀번호를 사용하세요:조직 내 서버 또는 내부 시스템의 비밀번호를 설정할 때는 숫자, 대문자와 소문자, 특수 기호를 포함해야 하고 8자리 이상이어야 하는 비밀번호 등 복잡한 로그인 자격 증명을 사용해야 하며, 비밀번호는 정기적으로 변경해야 합니다.

이중 유효성 검사:조직 내 민감한 정보의 경우 비밀번호 기반 로그인을 다른 방어 계층으로 보완하여 다음을 차단해야 합니다.해커지문, 홍채 등의 생체 인증을 설치하거나 일부 민감한 시스템에서 물리적 USB 키 인증기를 사용하는 등의 공격이 있습니다.

네 가지 금지 사항:출처를 알 수 없는 이메일 클릭하지 않기, 음란물, 도박 및 기타 바람직하지 않은 정보 웹사이트를 탐색하지 않기, 출처를 알 수 없는 소프트웨어를 설치하지 않기, 낯선 사람이 보낸 소프트웨어 설치에 주의하기, 출처를 알 수 없는 USB 플래시 드라이브, 모바일 하드 드라이브, 플래시 메모리 카드 등의 모바일 저장 장치를 임의로 디바이스에 삽입하지 않기 등을 실천하세요.

데이터 백업 보호:데이터 손실에 대한 진정한 안전장치는 항상 오프라인 백업이므로 중요한 데이터와 비즈니스 시스템을 백업하는 것이 필수적입니다. 특정 백업이 멀웨어에 감염된 경우 적시에 백업을 검색할 수 있도록 각 단계마다 백업에 명확한 레이블을 지정해야 합니다.

항상 바이러스를 죽이고 포트를 닫으세요:백신 소프트웨어를 설치하고 바이러스 데이터베이스를 정기적으로 업데이트하며, 정기적으로 전체 백신을 실행하고, 불필요한 서비스 및 포트(포트 3389, 포트 22와 같은 불필요한 원격 액세스 서비스, 135, 139, 445 등 불필요한 LAN 공유 포트 포함)를 닫아두세요.

직원의 안전 의식을 강화하세요:보안 생산의 가장 큰 숨겨진 위험은 인사, 낚시, 사교, 중독, 취약한 암호 등이며 이러한 핵심 요소는 인원의 보안 의식과 밀접한 관련이 있으므로 전반적인 보안 강화 및 방어 능력 강화를 잘 수행하려면 인원의 보안 의식을 효과적으로 향상시켜야합니다.

오피스 단말기 및 서버를 적시에 패치합니다:운영 체제와 타사 애플리케이션을 적시에 패치하면 공격자가 취약점을 통해 시스템에 침입하는 것을 방지할 수 있습니다.

감사 메모:우블록체인, @vxunderground, 히탄 랩스, 윤딩 랩스

인용하다

[1] https://www.justice.gov/opa/pr/us-and-uk-disrupt-lockbit-ransomware-variant

[2] https://www.nationalcrimeagency.gov.uk/news/nca-leads-international-investigation-targeting-worlds-most-harmful-ransomware- group

[3] https://www.justice.gov/opa/pr/us-and-uk-disrupt-lockbit-ransomware-variant

[4] https://ofac.treasury.gov/recent-actions/20240220