LockBit 3.0 랜섬웨어 분석 보고서 발표

올해 3월 24일부터 4월 첫째 주까지 3주 동안 베트남 사이버 공간은 금융, 증권, 에너지, 통신 등 주요 분야에서 활동하는 대형 베트남 기업을 랜섬웨어 형태로 연달아 타깃팅한 공격을 기록했습니다. 이러한 공격으로 인해 기업의 시스템이 일정 기간 중단되었고, 사이버 범죄 집단의 타깃이 된 시스템을 보유한 부서는 상당한 경제적, 평판적 피해를 입었습니다.

당국은 최근 베트남 기업의 정보 시스템을 공격한 주체와 원인을 분석하고 조사하는 과정에서 이러한 사고가 LockBit, BlackCat, Mallox 등 다양한 공격 그룹의 '제품'이라는 것을 발견했습니다. 특히 3월 24일 오전 10시경 VNDIRECT 시스템에 대한 랜섬웨어 공격으로 베트남 증권거래소 상위 3개 기업의 모든 데이터가 암호화된 상황에서 당국은 LockBit 3.0 맬웨어를 사용하는 LockBit 그룹이 이 사고의 배후에 있다고 밝혔습니다.

W-공격-데이터-맬웨어-0-1-1.jpg
국가사이버보안센터 A05부(공안부)는 2024년 3월 VNDIRECT 증권사 시스템에 대한 공격이 LockBit 3.0에 의해 수행되었다고 확인했습니다.

LockBit 그룹은 전 세계적으로 대기업과 조직을 표적으로 삼아 많은 랜섬웨어 공격을 감행했습니다. 예를 들어, 이 악명 높은 랜섬웨어 그룹은 2023년 각각 6월과 10월에 반도체 제조 회사 TSMC(대만, 중국)와 정보 기술 제품 및 서비스 회사 CDW를 공격했으며, Lockbit 그룹이 기업에 요구한 데이터 몸값은 최대 7,000만~8,000만 달러였습니다.

베트남 내 기관, 조직, 기업이 랜섬웨어 공격 전반과 LockBit 그룹의 공격으로 인한 위험 수준을 더 잘 이해하고 위험을 예방하고 최소화하는 방법을 알 수 있도록 돕고자, 정보통신부 정보보안부 산하 국가 사이버 보안 모니터링 센터(NCSC)는 사이버공간에 대한 정보 소스를 종합하여 '랜섬웨어 LockBit 3.0에 대한 분석 보고서'를 발표했습니다.

세계에서 가장 위험한 랜섬웨어 그룹

NCSC가 실시한 새로운 보고서는 LockBit 랜섬웨어 공격 그룹에 대한 정보를 포함하여 4가지 주요 내용을 제공하는 데 중점을 두고 있습니다. LockBit 클러스터가 활성화되어 있습니다. LockBit 3.0과 관련된 사이버 공격 지표 목록이 기록되었습니다. 랜섬웨어 공격으로 인한 위험을 예방하고 최소화하는 방법.

NCSC 보고서는 LockBit을 세계에서 가장 위험한 랜섬웨어 그룹 중 하나로 지정하고, LockBit은 2019년 처음 등장한 이후 다양한 분야의 기업과 조직을 표적으로 많은 공격을 수행했다고 밝혔습니다. 이 그룹은 '랜섬웨어 서비스형(RaaS)' 모델로 운영되며, 이를 통해 위협 행위자가 랜섬웨어를 배포하고 서비스를 제공하는 사람과 수익을 공유할 수 있습니다.

랜섬웨어 lockbit.jpg
전문가들에 따르면 LockBit은 세계에서 가장 위험한 랜섬웨어 그룹 중 하나입니다. 일러스트: Bkav

특히 2022년 9월에는 이 랜섬웨어를 개발하는 데 사용될 수 있는 일부 이름을 포함한 LockBit 3.0의 소스 코드가 X 플랫폼(구 Twitter)에서 'ali_qushji'라는 개인에 의해 유출되었습니다. 이 유출로 인해 전문가들은 LockBit 3.0 랜섬웨어 샘플을 추가로 분석할 수 있었지만 그 이후 위협 행위자들은 LockBit 3.0 소스 코드를 기반으로 하는 새로운 랜섬웨어 변종을 잇따라 만들어냈습니다.

NCSC 보고서는 TronBit, CriptomanGizmo 또는 Tina Turnet과 같은 활성 LockBit 랜섬웨어 클러스터의 공격 방법을 분석하는 것과 함께 기록된 LockBit 3.0과 관련된 사이버 공격 지표 목록도 기관에 제공합니다. NCSC 전문가는 "우리는 국가 사이버 포털의 alert.khonggianmang.vn 페이지에서 IOC 지표 정보를 지속적으로 업데이트할 것입니다." 라고 말했습니다.

'LockBit 3.0 랜섬웨어 분석 보고서'에서 언급된 특히 중요한 부분은 랜섬웨어 공격으로 인한 위험을 예방하고 최소화하는 방법에 대해 기관, 조직 및 기업에 지침을 제공하는 내용입니다. 정보보안부는 4월 6일에 발표한 '랜섬웨어 공격으로 인한 위험을 예방하고 최소화하기 위한 몇 가지 조치에 대한 핸드북'에서 베트남 내 랜섬웨어 공격을 예방하고 대응하기 위한 지원 부대에 대한 중요한 참고 사항을 명시했으며, NCSC 전문가가 이를 구현할 것을 계속 권고하고 있습니다.

W-안티랜섬웨어공격-1.jpg
조기에 시스템 침입을 감지하기 위한 지속적인 모니터링은 정보 보안 부서에서 랜섬웨어 공격을 방지하기 위해 조직에 구현하도록 권장하는 9가지 조치 중 하나입니다. 일러스트: Khanh Linh

전문가에 따르면, 현재 랜섬웨어 공격은 종종 기관이나 조직의 보안 취약점에서 시작된다고 합니다. 공격자는 시스템에 침투하여 존재감을 유지하고, 영향력을 확대하고, 조직의 IT 인프라를 통제하고, 시스템을 마비시켜 실제 피해자 조직이 암호화된 데이터를 복구하려면 몸값을 지불하도록 만드는 것을 목표로 합니다.

VNDIRECT 시스템에 대한 공격이 발생한 지 5일 후, VietNamNet 기자들과 공유한 바에 따르면, 사건 대응 지원 활동을 조정하는 부서의 관점에서 정보 보안부 대표는 다음과 같이 논평했습니다. 이 사건은 베트남 내 조직과 기업의 네트워크 안전과 보안에 대한 인식을 높이는 데 중요한 교훈입니다.

따라서 금융, 은행, 증권, 에너지, 통신 등 중요 분야에서 운영되는 기관, 조직, 기업은 기존 보안 시스템과 전문 인력을 시급하고 사전에 검토하고 강화해야 하며, 동시에 사고 대응 계획을 수립해야 합니다.

“조직에서는 발표된 정보 보안 및 네트워크 보안에 대한 규정, 요구 사항 및 지침을 엄격히 준수해야 합니다. 정보 보안부 관계자는 "각 조직과 기업은 잠재적인 사이버 공격으로부터 자신과 고객을 보호할 책임이 있다"고 강조했다.

LockBit 랜섬웨어는 암호화된 파일 확장자를 따서 ABCD로 처음 알려졌고, 몇 달 후에 현재의 이름인 Lockbit으로 ABCD의 변종이 나타났습니다. 1년 뒤, 해당 그룹은 업그레이드된 버전인 LockBit 2.0(LockBit Red라고도 함)을 출시했는데, 여기에는 민감한 데이터를 훔치는 것을 목적으로 하는 StealBit이라는 또 다른 통합 맬웨어가 포함되었습니다. LockBit 3.0(LockBit Black이라고도 함)은 최신 버전으로 2022년에 새로운 기능과 향상된 보안 회피 기술을 탑재하여 출시될 예정입니다.
랜섬웨어 공격 후 PVOIL 시스템이 빠르게 복구될 수 있는 이유는 무엇입니까?

랜섬웨어 공격 후 PVOIL 시스템이 빠르게 복구될 수 있는 이유는 무엇입니까?

PVOIL이 랜섬웨어 공격을 신속히 복구하고 며칠 만에 운영을 복구할 수 있었던 중요한 요인 중 하나는 시스템 크기가 크지 않다는 점 외에도 백업 데이터 덕분입니다.
랜섬웨어 공격에 대한 방어력을 강화하기 위한 보안 문화 형성

랜섬웨어 공격에 대한 방어력을 강화하기 위한 보안 문화 형성

CDNetworks Vietnam에 따르면, 기업은 직원 교육에 투자하고, 보안 문화를 형성하고, 인사부와 보안팀 간의 협력을 촉진함으로써 랜섬웨어 공격을 포함한 사이버 공격에 대한 방어력을 강화할 수 있습니다.
몸값을 지불하면 해커가 랜섬웨어 공격을 늘릴 수 있습니다.

몸값을 지불하면 해커가 랜섬웨어 공격을 늘릴 수 있습니다.

전문가들은 랜섬웨어의 공격을 받은 조직은 해커에게 몸값을 지불해서는 안 된다는 데 동의합니다. 이렇게 되면 해커들이 다른 타겟을 공격하게 되고, 다른 해커 그룹이 자기 부대의 시스템을 계속 공격하게 됩니다.