슬로우 포그: 락비트 미스터리: 세계 최고의 몸값 반지

팀 배경

락빗 랜섬웨어 바이러스는 2019년 9월에 공식 데뷔했으며, 암호화된 피해자를 표시하기 위해 접미사 .abcd를 사용하기 때문에 "ABCD" 랜섬웨어라고 불립니다. 이 랜섬웨어는 암호화 된 피해자 파일을 표시하기 위해 확장자 .abcd를 사용하기 때문에 "ABCD" 랜섬웨어로 알려져 있습니다. 초기 버전의 LockBit 1.0은 매우 미숙했으며 암호화 소프트웨어가 고정된 상호 제외 잠금을 사용했을 뿐만 아니라 바이러스 백신 소프트웨어, 샌드박스 및 기타 보안 소프트웨어에서 쉽게 인식하고 가로챌 수 있는 일부 디버그 기능도 남겨두었습니다.

조직의 규모가 커지면서 LockBit 1.0은 다른 악의적 공격자들이 사용할 수 있는 랜섬웨어 도구를 개발 및 배포하는 RaaS(서비스형 랜섬웨어) 모델로 운영되기 시작했고, XSS 포럼에서 협력 프로그램을 주최했습니다. 파트너십 프로그램을 홍보하기 위해 XSS 포럼을 개최했습니다.

8개월 후, LockBit 1.0 랜섬웨어 운영자는 피해자의 데이터를 공개하는 사이트를 만들어 파일 암호화와 함께 '이중 몸값'을 요구하며 피해자를 더욱 압박하는 등 랜섬웨어 전술을 업그레이드했습니다.

몇 가지 사소한 업그레이드를 거친 후, LockBit 1.0은 다른 랜섬웨어보다 더 정교해졌습니다. Windows 시스템의 암호화 프로세스는 RSA + AES 알고리즘을 사용하여 파일을 암호화하고 IOCP 완료 포트 + AES-NI 명령어 집합을 사용하여 효율성을 향상시켜 고성능 암호화 프로세스를 달성합니다. 파일이 성공적으로 암호화되면 피해자의 모든 파일에 깨지지 않는 .abcd 확장자가 추가됩니다.

LockBit 랜섬웨어 1.0은 주로 피해자의 시스템 바탕화면을 수정하여 랜섬 메시지를 표시하고, 피해자에게 다크웹에 로그인하여 비트코인 또는 먼로 코인으로 몸값을 지불하라는 Restore-My-Files.txt라는 랜섬 메모를 남깁니다.

이 그룹은 이후 여러 차례의 유명한 공격으로 유명해졌습니다. 예를 들어, 2022년 6월에는 락빗 버전 3.0을 출시하고 보안 연구원을 초대하여 소프트웨어를 테스트하고 개선하는 취약점 포상금 프로그램을 포함시켰습니다. 시스템 취약점 발견에 대한 보상을 제공하는 것은 랜섬웨어의 독특한 접근 방식입니다.

락빗은 운영을 시작한 이래로 사이버 보안에 상당한 영향을 미쳤으며, 종종 민감한 데이터를 도난당하고 피해를 입은 당사자에게 금전적 손실을 초래하는 공격으로 이어졌습니다.

"브릴리언트" 연혁

2022년 5월까지 LockBit은 전 세계 850개 이상의 조직의 방어 체계를 뚫고 같은 기간 전체 랜섬웨어 관련 공격의 46%를 차지하며 사실상 무적의 존재로 군림했습니다. 같은 기간 전체 랜섬웨어 관련 공격의 46%.

RaaS 프록시 모델 :

공격 모드:

사이버 보안 기업 Dragos에 따르면, 2022년 2분기에 산업 시스템을 겨냥한 랜섬웨어 공격의 약 1/3이 LockBit에 의해 시작되었으며, 산업 제어 부문의 여러 대형 조직을 공격했습니다. 또한 Deep Instinct는 2022년 상반기에 LockBit이 시작한 랜섬 공격이 전체 공격 건수의 약 44%를 차지했다고 보고했습니다.

단 3년 만에 1,000명 이상의 피해자가 발생한 LockBit 랜섬웨어 그룹은 베테랑 랜섬웨어 그룹인 Conti보다 2배, Revil보다 5배 이상 많은 수의 피해자를 발생시켰습니다.

LockBit 랜섬웨어 그룹의 몸값 획득률이 다른 오래된 랜섬웨어 그룹보다 높다는 점도 주목할 만합니다. 2022년 데이터를 기준으로 볼 때, 1억 달러의 몸값 요구 중 절반 이상의 몸값 성공률을 기록하여 수많은 기업을 겁에 질리게 했습니다.

현재 상황

이 때문에 이 그룹은 전 세계 법 집행 기관의 주목을 받고 있습니다. 2022년 11월 미국 법무부(DoJ)는 러시아-캐나다 이중 국적자인 미하일 바실리예프가 다음과 같은 랜섬웨어에 관여한 혐의를 받고 있다며 그를 고발했습니다. 록빗 랜섬웨어 작전에 연루된 혐의를 받고 있습니다. 그는 현재 캐나다에 구금되어 있으며 미국으로의 범죄인 인도를 기다리고 있습니다.

5월에는 러시아 국적의 미하일 파블로비치 마베예프(30)가 여러 랜섬웨어 공격에 연루된 혐의로 미국 법무부에 의해 기소되었습니다(Wazawaka, m1x, Boriselcin, Uhodiransomwar라고도 알려져 있음).

미국 법무부는 이 남성이 세 가지 유형의 랜섬웨어를 사용하여 워싱턴 DC와 뉴저지의 법 집행 기관과 의료 및 기타 부문의 조직을 포함하여 미국 전역의 수많은 피해자를 공격한 혐의로 기소된 두 건의 기소장을 발표했습니다.

• 2020년 6월 25일을 전후하여 마베예프와 그의 락빗 공모자들은 뉴저지주 파사익 카운티에 있는 법 집행 기관을 공격했습니다.

• 2021년 4월 26일, 마트베예프와 그의 바북은 워싱턴 DC의 메트로폴리탄 경찰청에 대한 공격에 연루되었습니다.

• 2022년 5월 27일 전후, 마트베예프와 그의 하이브(Hive) 공모자들은 뉴저지에 있는 비영리 행동 건강 관리 단체를 공격했습니다.

• 2024년 2월 19일, 영국 국가범죄청, 미국 연방수사국, 유로폴, 국제경찰기구연합의 합동 법 집행 작전으로 악명 높은 랜섬웨어 조직 LockBit의 웹사이트가 압수되었습니다:

Treasury. gov는 인사 정보, BTC 및 ETH 주소 등에 관한 관련 제재 정보를 게시합니다.

Treasury. align: left;">미스트트랙을 사용하여 제재된 이더리움 주소(0xf3701f445b6bdafedbca97d1e477357839e4120d)의 자금 조달을 살펴봅니다:

분석 결과 해당 이더리움 주소의 자금이 세탁된 것으로 밝혀졌습니다.

다음으로 제재된 BTC 주소의 상태를 분석한 결과, 해당 주소에서 가장 이른 거래는 2019년 10월, 가장 최근 거래는 2023년 3월에 이루어졌으며 각 주소의 관련 자금이 이체된 것으로 확인되었습니다.

가장 많은 금액을 받은 주소는 18gaXypKj9M23S2zT9qZfL9iPbLFM372Q5로, 이는 락비트 계열사인 아르투르 성가토프의 주소이며 미스트트랙에서 다음과 같이 표시했습니다. 바이낸스 입금 주소로 표시되었으며 자금이 이체되었습니다.

두 번째로, 주소는 32pTjxTNi7snk8sodrgfmdKao3DEn1nVJM은 미스트트랙이 쿠코인 입금 주소로 표시한 락비트 계열사 이반 콘드라티예프의 주소로 52.7892 BTC를 받았으며, 또 다른 제재 주소로 표시된 주소입니다. bc1qx9upga7f09tsetqf78wa3qrmcjar58mkwz6ng6 0.4323 BTC를 전송했습니다.

미국 정부는 영국 및 유로폴과 함께 LockBit 랜섬웨어 조직에 대한 추가 정보를 공개했으며, LockBit이 193개의 지부를 가지고 있다고 밝혔습니다.

포획의 미스터리

영국 국가범죄청 대변인에 따르면 현재 진행 중인 작전으로 인해 LockBit의 서비스가 중단되었습니다. 이 작전은 법 집행 기관과 랜섬 조직 간의 다년간에 걸친 전투 중 가장 최근의 작전으로, 최근 LockBit의 다국적 랜섬 작전에 강력한 타격을 입히고 증가하는 랜섬 공격을 효과적으로 억지하는 역할을 하고 있습니다.

락빗의 노드를 살펴본 결과, 알려진 모든 락빗 랜섬웨어 조직 웹사이트는 오프라인 상태이거나 유로폴이 압수한 페이지를 표시하고 있습니다. 법 집행 기관은 크로노스 작전으로 알려진 최소 22개의 토르 사이트를 압수하거나 해체했습니다.

이후, 락빗 랜섬웨어 그룹 경영진은 언론에 자신들의 웹사이트가 압수되었음을 확인했습니다.

그러나 압수수색이 LockBit의 핵심 직원들에게는 영향을 미치지 않은 것으로 보이며, 이후 LockBit 랜섬웨어 조직은 Tox에서 개인에게 "FBI가 PHP를 사용하는 서버를 망쳤고, PHP가 없는 대체 서버는 영향을 받지 않았습니다."라는 메시지를 게시했습니다.

오늘, 이야기는 LockBit으로 역전되었습니다. 리더십 성명: 2024년 2월 23일 금요일에 발표될 것이라는 사법당국의 발표와 관련하여 LockBit 랜섬웨어 조직의 경영진과 이야기를 나누었습니다.

LockBit은 "내 정체를 모를 테니 공개하라"고 답했습니다. 또한, LockBit 랜섬웨어 그룹은 법 집행 기관을 조롱하기 위해 이름을 "FBI Supp"로 변경했습니다.

@vxunderground에 따르면, 현재 락빗이 공개적으로 훨씬 더 큰 보상금을 제시하고 있음에도 불구하고 최종 주범은 잡히지 않은 것처럼 보입니다.

이 시점에 이르러서야 법 집행 기관이 다음과 같이 주장하면서 이야기는 점점 더 좋아지고 있습니다. 앞으로 며칠 내로 락빗 조직에 대한 더 많은 정보를 공개할 예정입니다.

다음은 어떻게 될까요? 두고 볼 일입니다.

요약

이 단속은 랜섬웨어 조직에 대한 일련의 법 집행 이니셔티브 중 가장 최근의 조치입니다. 작년 말, FBI와 다른 기관들은 Qakbot과 Ragnar Locker를 비롯한 여러 랜섬웨어 조직의 네트워크와 인프라를 성공적으로 해체한 바 있습니다.

최근 뮌헨 사이버 보안 컨퍼런스에서 미국 법무부 차관은 랜섬웨어와 사이버 범죄에 맞서 싸우겠다는 미국의 의지를 강조하며 이러한 범죄 활동을 예방하고 방해하는 데 초점을 맞춘 보다 신속하고 적극적인 전략을 제안했습니다.

디지털 기술의 성장과 함께 암호화폐를 이용한 사이버 범죄는 전 세계적인 주요 과제가 되었습니다. 랜섬웨어와 기타 사이버 범죄는 개인과 기업에 손실을 가져올 뿐만 아니라 사회 전체에 심각한 위험을 초래합니다. 통계에 따르면 지난해 사이버 범죄자들은 전 세계 피해자들로부터 11억 달러 이상을 갈취했습니다.

또한 랜섬웨어 거버넌스는 인내심과 전략, 타이밍이 필요한 사이버 공격자와 보안 담당자 간의 싸움입니다.

락빗 랜섬웨어를 예로 들면 공격 방법, 전략, 침입 지점 등을 매 버전마다 반복적으로 업데이트하기 때문에 보안 담당자가 완벽한 복구 체계를 구축하기 어렵습니다. 따라서 랜섬웨어 거버넌스 과정에서 복구보다 예방이 훨씬 더 중요하며 체계적이고 포괄적인 정책, 체계적인 거버넌스, 다자간 공동 접근, 랜섬웨어 방지 벽 형성을 위해 다음과 같은 보호 조치를 취하는 것이 좋습니다.

가능한 경우 복잡한 암호 사용 :