LockBit 3.0 랜섬웨어 분석 보고서가 공개되었습니다.

올해 3월 24일부터 4월 첫째 주까지 베트남 사이버 공간에서는 금융, 증권, 에너지, 통신 등 주요 산업 분야에서 사업을 운영하는 대기업들을 대상으로 한 일련의 표적 랜섬웨어 공격이 발생했습니다. 이러한 공격으로 인해 시스템 장애가 일정 기간 동안 발생했으며, 피해 기업들은 상당한 경제적 손실과 기업 이미지 손상을 입었습니다.

최근 베트남 기업들의 정보 시스템을 공격한 원인과 공격 집단을 분석 및 조사하는 과정에서 당국은 이러한 사건들이 LockBit, BlackCat, Mallox 등 다양한 공격 집단의 소행임을 밝혀냈습니다. 특히, 베트남 증시 3대 기업 중 하나인 VNDIRECT의 시스템을 3월 24일 오전 10시에 공격하여 모든 데이터를 암호화한 사건과 관련하여, 당국은 LockBit과 그들의 LockBit 3.0 악성코드를 배후로 지목했습니다.

W-tan-cong-ma-hoa-du-lieu-0-1-1.jpg
국가 사이버보안센터 A05부( 공안부 소속 )는 2024년 3월 VNDIRECT 증권회사 시스템에 대한 공격이 LockBit 3.0에 의해 자행되었음을 확인했습니다.

록비트(LockBit) 그룹은 전 세계적으로 대기업 및 기관을 대상으로 수많은 랜섬웨어 공격을 감행해 왔습니다. 예를 들어, 2023년 6월과 10월에는 이 악명 높은 랜섬웨어 그룹이 반도체 제조업체인 TSMC(대만, 중국)와 IT 제품 및 서비스 회사인 CDW를 공격하여 최대 7천만~8천만 달러의 몸값을 요구했습니다.

베트남 정보통신부 산하 국가사이버보안모니터링센터(NCSC)는 베트남 내 기관, 단체, 기업들이 랜섬웨어 공격, 특히 록비트(LockBit) 그룹의 공격으로 인한 위험 수준을 더 잘 이해하고 예방 및 완화 방안을 마련할 수 있도록 온라인 자료를 종합하여 '록비트 3.0 랜섬웨어 분석 보고서'를 발표했습니다.

세계에서 가장 위험한 랜섬웨어 집단.

미국 국가사이버보안센터(NCSC)의 새로운 보고서는 다음 네 가지 주요 사항에 중점을 두고 있습니다. 록비트(LockBit) 랜섬웨어 공격 그룹에 대한 정보, 활성 록비트 클러스터, 기록된 록비트 3.0 관련 사이버 공격 지표 목록, 그리고 랜섬웨어 공격으로 인한 위험을 예방하고 완화하는 방법.

NCSC 보고서는 LockBit을 세계 최고의 랜섬웨어 그룹 중 하나로 지목하며, 2019년 처음 등장한 이후 다양한 분야의 기업과 조직을 대상으로 수많은 공격을 감행해 왔다고 밝혔습니다. LockBit은 '서비스형 랜섬웨어(RaaS)' 모델을 기반으로 운영되며, 공격자는 랜섬웨어를 배포하고 서비스 제공자와 수익을 공유합니다.

랜섬웨어 lockbit.jpg
전문가들에 따르면, 록비트(LockBit)는 세계에서 가장 위험한 랜섬웨어 그룹 중 하나입니다. (삽화: Bkav)

특히 2022년 9월, 'ali_qushji'라는 아이디를 사용하는 사용자가 X 플랫폼(이전 트위터)에서 LockBit 3.0 랜섬웨어의 소스 코드를 유출했는데, 여기에는 이 랜섬웨어를 개발하는 데 사용될 수 있는 여러 이름이 포함되어 있었습니다. 이 유출로 전문가들은 LockBit 3.0 랜섬웨어를 더욱 자세히 분석할 수 있었지만, 그 이후로 공격자들은 LockBit 3.0 소스 코드를 기반으로 한 새로운 랜섬웨어 변종들을 대거 만들어냈습니다.

국가사이버보안센터(NCSC) 보고서는 트론비트(TronBit), 크립토맨기즈모(CriptomanGizmo), 티나 터넷(Tina Turnet) 등 활발히 활동 중인 록비트(LockBit) 랜섬웨어 클러스터의 공격 방식을 분석하는 것 외에도 록비트 3.0과 관련된 지능형 범죄활동(IOC) 지표 목록을 관련 기관에 제공합니다. NCSC 관계자는 "국가사이버보안 포털 alert.khonggianmang.vn 페이지에서 IOC 지표를 지속적으로 업데이트할 예정" 이라고 밝혔습니다.

'록비트 3.0 랜섬웨어 분석 보고서'에서 특히 중요한 부분은 기관, 단체 및 기업이 랜섬웨어 공격으로 인한 위험을 예방하고 완화하는 방법에 대한 지침을 제공한다는 점입니다. 4월 6일에 발표된 사이버보안부의 '랜섬웨어 공격 위험 예방 및 완화 조치 핸드북'에 명시된 베트남 기관의 랜섬웨어 공격 예방 및 대응을 지원하기 위한 중요 사항들은 국가보안센터(NCSC) 전문가들이 지속적으로 권고하고 있습니다.

W-phong-chong-tan-cong-ransomware-1.jpg
시스템 침입을 조기에 탐지하기 위한 지속적인 모니터링은 사이버보안국(CAA)이 랜섬웨어 공격을 예방하기 위해 조직에 권장하는 9가지 조치 중 하나입니다. (삽화: 칸린)

전문가들에 따르면, 최근 랜섬웨어 공격은 대개 조직 내 보안 취약점에서 비롯됩니다. 공격자는 시스템에 침투하여 영향력을 확대하고, 조직의 IT 인프라를 장악하여 시스템을 마비시킨 후, 암호화된 데이터를 복구하기 위해 피해 조직이 몸값을 지불하도록 강요합니다.

VNDIRECT 시스템 공격 발생 5일 후, 베트남넷(VietNamNet) 기자들과 만난 정보보안부 관계자는 사건 대응을 총괄한 부서의 입장에서 "이번 사건은 베트남의 기업과 단체들이 사이버 보안에 대한 경각심을 갖도록 하는 중요한 교훈이 될 것"이라고 밝혔습니다.

따라서 금융, 은행, 증권, 에너지, 통신과 같은 중요 분야에서 활동하는 기관, 조직 및 기업은 기존 보안 시스템과 인력을 시급하고 선제적으로 검토 및 강화하는 동시에 사고 대응 계획을 수립해야 합니다.

정보보안부 관계자는 "각 조직은 정보보안 및 사이버보안 관련 규정, 요구사항, 지침을 엄격히 준수해야 한다. 이는 잠재적인 사이버 공격 위험으로부터 자신과 고객을 보호하는 각 조직과 기업의 책임"이라고 강조했다.

LockBit 랜섬웨어는 처음에는 암호화된 파일 확장자를 따서 ABCD라는 이름으로 알려졌으며, 몇 달 후 ABCD의 변종이 현재의 이름인 Lockbit으로 등장했습니다. 1년 후, 해당 그룹은 민감한 데이터를 탈취하는 StealBit이라는 또 다른 악성코드가 통합된 업그레이드 버전인 LockBit 2.0(LockBit Red라고도 함)을 출시했습니다. LockBit 3.0(LockBit Black)은 2022년에 출시된 최신 버전으로, 새로운 기능과 더욱 정교한 보안 우회 기술을 포함하고 있습니다.
PVOIL 시스템은 랜섬웨어 공격 후 왜 그렇게 빠르게 복구될 수 있었을까요?

PVOIL 시스템은 랜섬웨어 공격 후 왜 그렇게 빠르게 복구될 수 있었을까요?

상대적으로 작은 시스템 크기 외에도, PVOIL이 랜섬웨어 공격을 신속하게 해결하고 단 며칠 만에 운영을 복구할 수 있었던 결정적인 요인은 백업 데이터였습니다.
랜섬웨어 공격에 대한 방어력을 강화하기 위해 보안 문화를 조성하십시오.

랜섬웨어 공격에 대한 방어력을 강화하기 위해 보안 문화를 조성하십시오.

CDNetworks 베트남에 따르면, 기업은 직원 교육에 투자하고, 보안 문화를 조성하며, 직원과 보안팀 간의 협력을 증진함으로써 랜섬웨어 공격을 포함한 사이버 공격에 대한 방어력을 강화할 수 있습니다.
데이터 복구를 위해 몸값을 지불하는 것은 해커들이 랜섬웨어 공격을 늘리도록 부추길 것입니다.

데이터 복구를 위해 몸값을 지불하는 것은 해커들이 랜섬웨어 공격을 늘리도록 부추길 것입니다.

전문가들은 랜섬웨어 공격을 받은 조직은 해커에게 몸값을 지불해서는 안 된다는 데 동의합니다. 몸값을 지불하는 것은 해커들이 다른 대상을 공격하도록 부추기거나, 다른 해커 그룹이 해당 조직의 시스템을 다시 공격하도록 유도할 수 있기 때문입니다.