LockBit 3.0 랜섬웨어 분석 보고서 발표

올해 3월 24일부터 4월 첫째 주까지 3주 동안 베트남 사이버 공간에서는 금융, 증권, 에너지, 통신 등 주요 분야에서 활동하는 베트남 대기업을 대상으로 랜섬웨어 형태의 표적 공격이 연이어 발생했습니다. 이러한 공격으로 인해 해당 기업의 시스템이 일정 기간 동안 중단되었고, 사이버 범죄 집단의 표적이 된 해당 기관은 상당한 경제적 , 평판적 피해를 입었습니다.

당국은 최근 베트남 기업의 정보 시스템을 공격한 원인과 공격 집단을 분석하고 조사하는 과정에서 이러한 사고가 LockBit, BlackCat, Mallox 등 다양한 공격 집단의 '산물'이라는 사실을 발견했습니다. 특히 3월 24일 오전 10시경 VNDIRECT 시스템을 랜섬웨어 공격으로 공격해 베트남 주식 시장 상위 3개 기업의 모든 데이터가 암호화되자, 당국은 LockBit 3.0 맬웨어를 사용하는 LockBit 집단이 이 사고의 배후에 있다고 밝혔습니다.

W-tan-cong-ma-hoa-du-lieu-0-1-1.jpg
국가사이버보안센터 A05부( 공안부 )는 2024년 3월 VNDIRECT 증권사 시스템에 대한 공격이 LockBit 3.0에 의해 수행되었다고 확인했습니다.

LockBit 그룹은 전 세계적으로 대기업과 조직을 대상으로 수많은 랜섬웨어 공격을 감행했습니다. 예를 들어, 2023년 6월과 10월에는 반도체 제조 회사 TSMC(대만, 중국)와 정보기술 제품 및 서비스 회사 CDW를 각각 공격하여 LockBit 그룹이 기업들에게 요구한 데이터 몸값은 최대 7천만~8천만 달러에 달했습니다.

베트남의 기관, 조직 및 기업이 랜섬웨어 공격 전반과 LockBit 그룹의 공격으로 인한 위험 수준을 더 잘 이해하고 위험을 예방하고 최소화하는 방법을 알 수 있도록 돕고자, 정보통신부 정보보안부 산하 국가사이버보안모니터링센터(NCSC)는 사이버공간에 대한 정보 소스를 종합하여 '랜섬웨어 LockBit 3.0에 대한 분석 보고서'를 발표했습니다.

세계에서 가장 위험한 랜섬웨어 그룹

NCSC가 실시한 새로운 보고서는 LockBit 랜섬웨어 공격 그룹에 대한 정보, 활성 LockBit 클러스터, LockBit 3.0과 관련된 기록된 사이버 공격 지표 목록, 랜섬웨어 공격으로 인한 위험을 예방하고 최소화하는 방법 등 4가지 주요 내용을 제공하는 데 중점을 두고 있습니다.

NCSC 보고서는 LockBit을 세계에서 가장 위험한 랜섬웨어 그룹 중 하나로 지목하며, LockBit이 2019년 첫 등장 이후 다양한 분야의 기업과 조직을 대상으로 수많은 공격을 감행했다고 밝혔습니다. LockBit은 '서비스형 랜섬웨어(RaaS)' 모델을 기반으로 운영되며, 공격자는 랜섬웨어를 배포하고 서비스 제공자와 수익을 공유할 수 있습니다.

랜섬웨어 lockbit.jpg
전문가들에 따르면 LockBit은 세계에서 가장 위험한 랜섬웨어 그룹 중 하나입니다. 그림: Bkav

특히 2022년 9월, 'ali_qushji'라는 사용자가 X 플랫폼(구 트위터)에서 LockBit 3.0의 소스 코드를 유출했습니다. 이 소스 코드에는 이 랜섬웨어 개발에 사용될 수 있는 이름들이 포함되어 있었습니다. 이 유출로 전문가들은 LockBit 3.0 랜섬웨어 샘플을 더욱 심층적으로 분석할 수 있게 되었지만, 그 이후 위협 행위자들은 LockBit 3.0의 소스 코드를 기반으로 하는 새로운 랜섬웨어 변종을 잇따라 개발했습니다.

NCSC 보고서는 TronBit, CriptomanGizmo, Tina Turnet 등 활성 LockBit 랜섬웨어 클러스터의 공격 방식을 분석하는 것 외에도 LockBit 3.0과 관련하여 기록된 사이버 공격 지표 목록을 각 기관에 제공합니다. NCSC 전문가는 "국가 사이버 포털의 alert.khonggianmang.vn 페이지에 IOC 지표 정보를 지속적으로 업데이트할 것입니다." 라고 밝혔습니다.

'LockBit 3.0 랜섬웨어 분석 보고서'에서 특히 중요한 부분은 기관, 조직 및 기업이 랜섬웨어 공격으로 인한 위험을 예방하고 최소화하는 방법에 대한 지침을 제공하는 내용입니다. 베트남 정보보안부는 4월 6일 발표한 '랜섬웨어 공격 위험 예방 및 최소화 조치에 대한 핸드북'에서 랜섬웨어 공격 예방 및 대응을 지원하는 데 필요한 중요 사항을 언급했으며, NCSC 전문가들이 지속적으로 이를 시행할 것을 권고하고 있습니다.

W-안티랜섬웨어공격-1.jpg
시스템 침입을 조기에 탐지하기 위한 지속적인 모니터링은 정보보안부가 랜섬웨어 공격을 방지하기 위해 조직에 권장하는 9가지 조치 중 하나입니다. 사진: Khanh Linh

전문가들에 따르면, 오늘날 랜섬웨어 공격은 기관이나 조직의 보안 취약점에서 시작되는 경우가 많습니다. 공격자는 시스템에 침투하여 존재감을 유지하고, 침입 범위를 확대하고, 조직의 IT 인프라를 장악하고, 시스템을 마비시켜 실제 피해자 조직이 암호화된 데이터를 복구하려면 몸값을 지불하도록 강요하는 것을 목표로 합니다.

VNDIRECT 시스템에 대한 공격이 발생한 지 5일 만에 VietNamNet 기자와 공유한 내용에 따르면, 사고 대응 지원 활동을 조정하는 부서의 관점에서 정보 보안부 대표는 다음과 같이 논평했습니다. 이 사고는 베트남 내 조직과 기업의 네트워크 안전과 보안에 대한 인식을 높이는 데 중요한 교훈입니다.

따라서 금융, 은행, 증권, 에너지, 통신 등 중요 분야에서 활동하는 기관, 조직, 기업은 기존 보안 시스템과 전문 인력을 시급하고 사전 예방적으로 검토하고 강화해야 하며, 동시에 사고 대응 계획을 수립해야 합니다.

"각 기관은 발표된 정보 보안 및 네트워크 보안 관련 규정, 요건, 지침을 엄격히 준수해야 합니다. 이는 각 기관과 기업이 잠재적인 사이버 공격으로부터 자신과 고객을 보호할 책임입니다."라고 정보보안부 관계자는 강조했습니다.

LockBit 랜섬웨어는 암호화된 파일 확장자를 따서 ABCD로 처음 알려졌으며, 몇 달 후 ABCD의 변종이 Lockbit이라는 이름으로 등장했습니다. 1년 후, 이 그룹은 중요 데이터를 훔치기 위해 StealBit이라는 또 다른 악성코드를 통합한 LockBit 2.0(LockBit Red라고도 함)이라는 업그레이드 버전을 출시했습니다. LockBit 3.0(LockBit Black이라고도 함)은 새로운 기능과 향상된 우회 기법을 탑재하여 2022년에 출시된 최신 버전입니다.
랜섬웨어 공격 후 PVOIL 시스템이 빠르게 복구될 수 있는 이유는 무엇입니까?

랜섬웨어 공격 후 PVOIL 시스템이 빠르게 복구될 수 있는 이유는 무엇입니까?

PVOIL이 랜섬웨어 공격을 신속하게 복구하고 며칠 만에 운영을 복구할 수 있었던 중요한 요인 중 하나는 시스템 크기가 크지 않다는 점 외에도 백업 데이터 덕분입니다.
랜섬웨어 공격에 대한 방어력을 강화하기 위한 보안 문화 형성

랜섬웨어 공격에 대한 방어력을 강화하기 위한 보안 문화 형성

CDNetworks Vietnam에 따르면, 기업은 직원 교육에 투자하고, 보안 문화를 형성하고, 직원과 보안 팀 간의 협력을 촉진함으로써 랜섬웨어 공격을 포함한 사이버 공격에 대한 방어력을 강화할 수 있습니다.
몸값을 지불하면 해커가 랜섬웨어 공격을 늘릴 수 있습니다.

몸값을 지불하면 해커가 랜섬웨어 공격을 늘릴 수 있습니다.

전문가들은 랜섬웨어 공격을 받은 조직이 해커에게 몸값을 지불해서는 안 된다는 데 동의합니다. 몸값을 지불하면 해커들이 다른 대상을 공격하거나 다른 해커 집단이 해당 시스템을 계속 공격하게 될 수 있기 때문입니다.