디지털 혁명은 전 세계적으로 사이버 보안 문제에 대한 관심을 증가시켰습니다. 중요한 사이버 위협 중 하나는 랜섬웨어로, LockBit 랜섬웨어 특히 주목할 만한 것은 가족입니다. LockBit은 2019년에 처음 출시된 이후 수많은 랜섬웨어 사건을 거치며 진화하여 2022년까지 가장 널리 배포된 랜섬웨어 변종이 되었고 2023년과 2024년에도 계속 활동하고 있습니다. Flashpoint 데이터에 따르면 2022년 7월부터 2023년 6월까지 이 랜섬웨어는 알려진 모든 랜섬웨어 공격의 27.93%를 담당했습니다.
그림 1: 랜섬웨어 패밀리 공격 사건 통계
LockBit는 다양한 규모의 조직을 타깃으로 할 뿐만 아니라 금융 서비스, 식품 및 농업, 교육, 에너지, 정부, 응급 서비스 등 중요 인프라 부문도 포함합니다.
LockBit은 법적 제재를 피하기 위해 의도적으로 러시아나 다른 CIS 국가를 표적으로 삼지 않습니다. LockBit에 따르면, 그들의 기반이 네덜란드에 있지만, 많은 구성원이 이 지역 출신입니다. 따라서 그들은 법적, 지정학적 또는 개인적 안전 문제로 인해 이 지역에서 공격을 예방하기 위한 예방 조치를 취할 수 있습니다. 이 전략은 법적 결과와 보복 조치의 위험을 최소화하는 것을 목표로 합니다.
LockBit은 랜섬웨어 서비스(RaaS) 모델로 운영되며, 제휴사를 모집하여 랜섬웨어 공격을 수행합니다. 관련 없는 제휴사가 다수 참여하기 때문에 LockBit의 공격은 사용되는 전략, 기술 및 절차가 상당히 다양합니다. 이러한 다양성은 조직이 사이버 보안을 유지하고 랜섬웨어 위협에 대항하는 데 상당한 어려움을 초래합니다.
그림 2: 랜섬웨어 서비스(RaaS)
이 가이드에서는 LockBit의 역사와 랜섬웨어 공격을 차별화하는 요소를 분석합니다. 저희의 목표는 이러한 사이버 위협의 심각성에 대한 인식을 높이고 잠재적인 방어 수단을 모색하는 것입니다. LockBit과 계열사의 접근 방식을 살펴보면 현대 사이버 위협의 본질을 더 잘 이해할 수 있으며, 사이버 보안의 미래에 대한 귀중한 통찰력을 제공할 수 있습니다.
LockBit 랜섬웨어의 개발 역사
1.2019: 기원과 초기 개발
LockBit은 원래 "ABCD" 랜섬웨어로 나타났으며 주로 네트워크 침입과 이메일 피싱 공격을 통해 확산되었습니다.
2. 2020: LockBit 2.0 – 진화와 혁신
이 버전은 LockBit에 상당한 진화를 나타내며, 파일 암호화 속도를 크게 높이는 자동화된 도구를 도입했습니다. 또한 더욱 편리한 몸값 지불 및 복호화 서비스를 제공했으며 StealBit 정보 도용 도구를 포함했습니다.
3. 2021: LockBit 3.0 – 기술 업그레이드 및 전략적 조정
Windows와 Linux 시스템을 모두 지원하는 LockBit Black(LockBit 3.0이라고도 함)을 출시했습니다. 이 버전은 더 효율적인 암호화 알고리즘과 더 복잡한 몸값 지불 시스템을 특징으로 했습니다. LockBit 3.0은 "이중 강탈" 전략을 구현하여 공격에 위협 계층을 추가했습니다.
4. 2023: 최신 개발
LockBit Linux-ESXi Locker: Linux 및 VMware ESXi 시스템을 대상으로 확장되었습니다.
LockBit Green: Conti 랜섬웨어의 요소를 통합하여 공격 역량을 강화했습니다.
그림 3: LockBit 개발 타임라인
LockBit의 진화는 랜섬웨어로서의 기술적 발전을 보여줄 뿐만 아니라 사이버 범죄 영역에서 확장되는 위협을 강조합니다. 이 상황은 사이버 보안 전문가와 조직에 중요한 통찰력을 제공합니다. LockBit의 개발 역사와 다양한 공격 방법을 이해하는 것은 효과적인 방어 전략을 고안하는 데 필수적입니다.
LockBit 랜섬웨어가 계속 진화함에 따라 글로벌 사이버 보안에 대한 위협이 증가하고 있습니다. LockBit은 기술적으로 더욱 정교해지고 있을 뿐만 아니라 피해자의 범위도 계속 확장하고 있습니다. 또한 LockBit은 RaaS 모델을 통해 기술 역량이 부족한 개인이 사이버 범죄 활동에 쉽게 참여할 수 있도록 하여 위협 수준을 더욱 악화시킵니다.
LockBit의 역사와 진화는 핵심적인 현실을 보여줍니다. 사이버 위협은 끊임없이 진화하는 분야이며, 지속적인 주의와 연구를 통해서만 이러한 과제를 효과적으로 해결할 수 있습니다. 다음으로 LockBit의 최근 활동과 기술적 세부 사항을 살펴보고 공격 방법에 대한 더 깊은 이해를 얻겠습니다.
기술적 세부 사항 및 공격 전략
오늘날 가장 진보된 사이버 위협 중 하나인 LockBit 랜섬웨어는 앞서 살펴본 바와 같이 기술을 지속적으로 반복하고 업데이트하는 암시장의 상업적 운영 모델에 의해 운영됩니다.
이는 공격자가 지속적으로 방법을 개선하려는 강한 의지를 보여줍니다. LockBit의 잦은 업데이트와 높은 적응성은 사이버 보안 분야에서 특히 어려운 위협이 됩니다.
LockBit의 주요 기술적 특성과 공격 전략에 대한 자세한 설명은 다음과 같습니다.
그림 4: LockBit 공격 프로세스
초기 침입
LockBit 운영자는 초기 접근을 얻기 위해 다양한 전략을 사용합니다. 인터넷 서비스의 취약점을 악용하거나, 암호 무차별 대입 공격을 수행하거나, 피싱에 가담하여 유효한 로그인 자격 증명을 얻을 수 있습니다. 또한 사무실 호스트에 침투하여 제어권을 얻기 위한 맞춤형 피싱 이메일을 보낼 수도 있습니다. 효율성과 성공률을 높이기 위해 LockBit 공격자는 종종 "초기 접근 브로커"(IAB)와 협력합니다.
초기 액세스 브로커(IAB)는 피해자 네트워크에 대한 액세스를 획득하고 판매하는 중개자입니다. 이들은 RDP, VPN, 웹 셸, SSH 및 기타 직접 액세스 지점과 같은 다양한 방법을 통해 액세스를 획득합니다. 이 액세스에는 자산, 데이터베이스 및 시스템 사용자 계정에 대한 무단 진입이 포함됩니다. IAB는 또한 Citrix, Fortinet, ESXi 및 Pulse Secure와 같은 알려진 취약성이 있는 악용 가능한 엔터프라이즈 시스템 및 네트워크 장치를 거래합니다. 이러한 브로커는 종종 해커 포럼에서 액세스를 판매하며, 때로는 여러 랜섬웨어 조직에 여러 번 판매합니다.
IAB와 랜섬웨어 공급업체 간에는 익명의 인스턴트 메시징(IM) 도구와 디지털 통화 거래를 통해 촉진되는 수요-공급 관계가 존재합니다. 해커 포럼을 사용하여 랜섬웨어 운영자는 IAB가 제공하는 액세스를 구매하고 랜섬웨어를 직접 이식하여 강탈 목표를 달성할 수 있습니다.
그림 5: 언더그라운드 포럼의 데이터/액세스 판매
최근 LockBit 공격은 주로 초기 침입을 위해 CVE-2023-4966(Citrix Bleed 취약점)을 악용했습니다. LockBit 3.0의 제휴사는 이 취약점을 악용하여 다중 인증(MFA)을 우회하고 Citrix NetScaler Application Delivery Controller(ADC) 및 Gateway 장치에서 합법적인 사용자 세션을 하이재킹했습니다. 공격자는 특별히 제작된 HTTP GET 요청을 보내 NetScaler AAA 세션 쿠키를 포함한 시스템 메모리 정보를 검색했습니다. 이러한 쿠키를 사용하여 사용자 이름, 비밀번호 또는 MFA 토큰이 필요 없이 NetScaler 장치에서 인증된 세션을 설정했습니다.
그림 6: Citrix/NetScaler Gateway 자산 분포
심층적 침투 및 실행
LockBit 랜섬웨어에서 사용하는 미끼 형식은 대부분 피싱 이메일과 일치합니다. 일반적으로 다음 유형의 파일이 포함됩니다.
- Word 문서: 이 문서에는 악성 매크로가 포함되어 있을 수 있습니다. 사용자가 이 문서를 열고 매크로를 활성화하면 첨부 파일이 컴퓨터에 맬웨어를 설치합니다.
- HTML 첨부 파일: HTML 첨부 파일은 일반적으로 다른 파일 형식보다 의심스러운 것으로 인식되지 않기 때문에 가장 일반적인 피싱 공격에 속합니다.
- 실행 파일: 이러한 파일은 .vbs, .js, .exe, .ps1, .jar, .bat, .com, .scr과 같은 확장자로 끝날 수 있으며, 이러한 모든 파일은 컴퓨터에서 명령을 실행하는 데 사용될 수 있습니다.
Boeing에서 공개한 사례에서 초기 랜섬 샘플은 ps1 스크립트였습니다. 이 프로세스는 PowerShell 스크립트(예: 123.ps1)를 실행하여 시작되었으며, 이 스크립트는 두 개의 base64 문자열을 연결, 변환하여 파일(adobelib.dll)에 썼습니다. 그런 다음 rundll32를 사용하여 이 dll 파일을 호출하고, 복호화 및 실행을 위한 104자 문자열 매개변수를 전달했습니다.
그림 7: 보잉 사고(123.ps1)
권한 상승 및 측면 이동
공격자는 내부 네트워크에 더욱 침투합니다.
자격 증명 액세스(T1003): Mimikatz, ProxyShell 등의 도구를 사용하여 자격 증명 액세스 및 측면 이동을 수행할 수 있습니다.
측면 이동(T1021): PsExec이나 Cobalt Strike와 같은 도구는 네트워크 내의 제어되는 컴퓨터 및 다른 컴퓨터에서 코드를 실행하는 데 사용됩니다.
방어 회피
LockBit은 BYOVD(Bring Your Own Vulnerable Driver) 기술을 사용하는데, 특히 GMER, PC Hunter, Process Hacker와 같은 합법적인 드라이버와 도구를 남용합니다. 이러한 도구는 시스템 진단 및 보안 분석을 위해 설계되었지만 공격자의 손에 들어가면 보안 조치를 우회하는 데 사용됩니다.
GMER, PC Hunter, Process Hacker는 일반적으로 사용되는 루트킷 탐지 및 시스템 모니터링 도구입니다. 커널 수준 액세스가 가능하여 심층적인 시스템 수준 작업이 가능합니다. LockBit 공격자는 다음과 같은 방식으로 이러한 도구를 악용합니다.
- EDR 및 바이러스 백신 소프트웨어 비활성화 또는 우회: 공격자는 이러한 도구의 드라이버를 사용하여 시스템에서 실행되는 보안 소프트웨어를 비활성화하거나 우회함으로써 악성 활동을 감지하기 어렵게 만듭니다.
- 시스템 커널 구조 수정: 이러한 도구는 커널 데이터 구조에 액세스하고 이를 수정할 수 있으며, 여기에는 필수 드라이버 서명 및 PPL(Protected Process Light) 보호를 비활성화하는 작업이 포함됩니다.
- 악성 활동 숨기기: 이러한 도구는 악성 프로세스 및 파일을 숨기고, 보안 분석 및 법의학을 피하기 위해 로그 기록을 정리하는 데 사용됩니다.
Boeing 사건에서 LockBit 공격자는 Process Hacker 도구를 사용했습니다. Process Hacker는 시스템 리소스 모니터링, 디버깅, 메모리 보기와 같은 기능을 제공하는 고급 시스템 모니터링 도구입니다.
loldrivers 프로젝트 통계에 따르면, 현재 공격 활동에 악용될 수 있는 합법적인 드라이버는 433개입니다(통계 데이터만 해당).
그림 8: 학대 위험에 처한 운전자
영향
LockBit 3.0의 궁극적인 목표에는 데이터 파괴 및 강탈이 포함됩니다.
- 데이터 암호화: AES 및 RSA 알고리즘을 사용하여 데이터를 암호화합니다.
- 데이터 유출: StealBit 또는 클라우드 저장 도구를 사용하여 파일을 업로드하여 이중으로 협박하는 것입니다.
예를 들어 보잉은 몸값 지불이 이루어지지 않아 약 40GB의 데이터가 유출되었습니다.
그림 9: LockBit이 도난한 데이터를 공개적으로 유출
결론
LockBit 랜섬웨어의 전문적인 운영과 진화하는 기술 전략은 사이버 범죄 세계의 발전을 보여줍니다. 이는 전통적인 방어 수단으로는 점점 더 전문화되고 복잡해지는 위협에 대처하기에 충분하지 않다는 것을 보여줍니다.
대신, 사이버 보안 방어는 역동적이고 지속적으로 진화해야 하며, 보안 전략, 기술적 조치 및 관리 프로세스의 지속적인 최적화가 필요합니다. 지속적인 학습, 적응 및 혁신을 통해서만 이러한 교활한 사이버 공격에 효과적으로 대응하고 견고하고 안전한 네트워크 환경을 보장할 수 있습니다.
예방 권장 사항
LockBit 랜섬웨어에 대처하기 위해 회사와 조직은 위험 관리 관점에서 다양한 예방 조치를 구현하여 보안 방어를 강화할 수 있습니다.
- 인터넷 자산 노출 발견: 도메인 이름, IP, 키워드에 대한 포괄적인 쿼리와 상관관계 분석을 수행하여 인터넷 자산을 발견, 식별, 모니터링 및 감사하고, 알려지지 않은 인터넷 자산을 밝혀내고 정리합니다.
- 정기 업데이트 및 패치: 운영 체제와 소프트웨어(특히 보안 소프트웨어와 일반적으로 사용되는 애플리케이션)가 최신 상태로 유지되고, 보안 패치가 즉시 적용되도록 하세요.
- 취약점 스캐닝: 취약성 스캐너를 사용하여 웹 애플리케이션 자산에 대한 보안 스캔을 수행하고 웹 애플리케이션의 보안 취약성(OWASP TOP10, 취약한 암호, CVE 취약성 등)을 식별합니다.
- 침투 테스트: 해커가 사용하는 기술과 공격 방법을 시뮬레이션하기 위해 수동 침투 테스트를 수행하고, 비파괴적 취약성 발견을 수행하여 시스템의 잠재적 보안 위험을 식별합니다.
- 보안 인식 교육: 피싱 공격, 의심스러운 이메일 및 링크를 인식하고 피하는 방법에 대한 교육을 통해 직원의 보안 인식을 강화합니다.
- 백업 및 복구 계획: 중요한 데이터를 정기적으로 백업하고 백업이 안전하고 격리된 위치에 저장되도록 합니다. 데이터 복구 프로세스를 정기적으로 테스트합니다.
자산 보안을 보장하고 알려지지 않은 보안 위험을 완화하기 위해 여러 가지 보호 조치를 구현합니다.
- 노출 표면 수렴: 인터넷에 노출된 공격 표면을 최소화하기 위해 보안 네트워크 리소스 액세스를 위한 제로 트러스트 솔루션을 사용하여 노출 표면 컨버전스 전략을 구현합니다. 클라우드 보안 보호를 사용하여 외부 사이트의 소스 IP를 숨기고 계층화된 방어 시스템을 구축합니다.
- 웹 보안 보호: WAAP(웹 애플리케이션 및 API 보호) 제품을 배포하여 SQL 주입, 사이트 간 스크립팅(XSS), 사이트 간 요청 위조(CSRF), API 남용과 같은 다양한 사이버 공격으로부터 웹 애플리케이션 및 API를 보호합니다.
- 네트워크 접근 제어: 네트워크 보안 도메인을 적절히 세분화하여 중요한 네트워크 영역의 내부 및 외부 격리를 보장하고 공격자가 내부 네트워크 내에서 위협을 측면으로 확산하는 능력을 제한합니다. 가능하다면 더 세분화된 네트워크 액세스 제어를 위해 네트워크 마이크로 세분화를 추가로 구현합니다.
- 침입 탐지 및 대응 계획: 네트워크 및 엔드포인트 탐지 및 대응(NDR/EDR) 도구를 배포하여 네트워크 및 시스템 활동을 모니터링하고 의심스럽거나 비정상적인 동작에 신속하게 대응합니다.
- 신원 확인 및 액세스 관리: 다중 인증과 같은 향상된 인증 메커니즘을 구현하여 검증된 사용자와 기기만 승인된 네트워크 리소스에 액세스할 수 있도록 합니다. 최소 권한 원칙을 시행하여 직원에게 직무 수행에 필요한 액세스 권한만 부여합니다.
종합적 위험 관리를 위한 체계적인 보안 운영
- 지속적인 모니터링 및 행동 분석: 실시간 모니터링을 구현하고 행동 분석 기술을 사용하여 네트워크에 액세스하는 사용자 및 장치에서 발생하는 비정상적인 동작과 잠재적 위협을 식별합니다.
- 다이나믹 디펜스: 위협 인텔리전스, 빅데이터, AI 기술을 통합하여 공격 사고를 자동으로 탐지하고 대응책을 구축합니다. 보안 전략을 지속적으로 최적화하여 전반적인 보안 역량을 동적으로 향상합니다.
위험 관리 채택, 와프, 그리고 제로 트러스트 원칙은 LockBit 랜섬웨어 및 기타 고급 지속적 위협(APT)에 대한 방어 능력을 효과적으로 개선할 수 있습니다. 동시에 조직은 기술적 방어에만 집중할 것이 아니라 인력과 프로세스도 고려하여 효과적인 운영 보안 시스템을 만들어야 합니다.
