FBI(연방수사국)는 2022년 2월 4일에 발표된 새로운 플래시 경고에서 LockBit 랜섬웨어 공격과 관련된 기술적 세부 정보와 침해 지표를 발표했습니다.
LockBit 랜섬웨어 그룹은 2019년 9월 RaaS(Ransomware-as-a-Service)로 출시된 이후 현재까지 활발하게 활동하고 있습니다. 또한 그룹 대표가 서비스를 홍보하고 러시아 해킹 포럼에 대한 지원을 제공하며 랜섬웨어 공격 및 네트워크 암호화를 할 공격자들을 모집합니다.
2021년 6월 LockBit은 랜섬웨어 공격자들이 사이버 범죄 포럼에서 포스팅이 금지되자, LockBit 데이터 유출 홈페이지에 LockBit 2.0 RaaS를 공개했습니다. 이후 랜섬웨어 그룹은 Tor 사이트를 재설계하고 악성코드에 AD 그룹 정책을 통한 ‘Windows 도메인 장치 자동 암호화’를 비롯한 고급 기능을 추가했으며 1월에는 VMWare ESXi 서버를 대상으로 하는 Linux 암호화 도구도 추가한 것으로 밝혀졌습니다. 최근에는 LockBit 그룹이 VPN 및 RDP를 통해 기업 네트워크에 액세스 할 수 있도록 내부자를 모집하고 있다고도 알려졌습니다.
FBI는 LockBit 랜섬웨어가 작동하는 방식에 대한 기술적인 세부 사항 중 악성코드가 [SHIFT] + [F1] 키를 사용하여 감염 과정에서 활성화할 수 있는 숨겨진 디버그 창을 확인할 수 있다고 밝혔습니다.
[그림 1]과 같이 랜섬웨어 디버그 창에서는 암호화 과정에 대한 실시간 정보를 확인할 수 있으며 사용자 데이터 파기 현황을 추적하는 데 사용할 수 있습니다.
FBI는 이 플래시 경고를 발표한 원인을 밝히지 않았지만, 관리자와 사이버 보안 전문가에게 회사 네트워크를 표적으로 하는 LockBit 랜섬웨어 공격에 대한 정보를 공유하도록 요청했습니다.
연방 기관은 “FBI는 외부 IP 주소와의 통신 로그, 랜섬 노트 샘플, 공격자와의 통신, 비트코인 지갑 정보, 암호 해독기 파일 및 암호화된 파일 샘플 등 공유할 수 있는 모든 정보를 찾고 있습니다.” “의심스럽거나 범죄 행위에 관한 정보를 지역 FBI에 보고할 것을 권장합니다.” “관련 정보를 FBI Cyber Squads에 보고함으로써 FBI가 악의적인 행위자를 추적하고 미래의 침입과 공격을 방지하기 위해 민간 산업 및 미국 정부와 협력할 수 있도록 정보를 공유하는 데 도움이 됩니다.” 라고 말했습니다.
FBI는 또한 랜섬 머니 지불을 권장하지 않으며 지불하는 것이 미래의 공격이나 데이터 유출로부터 보호할 수 있다는 보장이 없기 때문에 회사에 랜섬 머니 지불을 권장하지 않는다고 덧붙였습니다. 랜섬웨어 갱단의 요구대로 랜섬 머니를 지불하면 운영 자금이 추가되고 더 많은 희생자를 노리도록 동기를 부여하며 또 다른 사이버 범죄 그룹이 불법 활동에 가담하도록 장려합니다.
아래는 FBI에서 제공하는 LockBit 랜섬웨어 공격 시도로부터 네트워크를 보호하는 공격 완화 방법입니다.
관리자는 아래 조치를 통해 랜섬웨어 그룹으로부터 네트워크 검색을 완화할 수 있습니다.
(출처 :
https://www.bleepingcomputer.com/news/security/fbi-shares-lockbit-ransomware-technical-details-defense-tips/
https://www.ic3.gov/Media/News/2022/220204.pdf)
보안관제센터 MIR Team
Microsoft Defender에서 곧 윈도우 자격 증명 도용 차단해 (0) | 2022.02.17 |
---|---|
악성코드 개발자, Maze·Egregor·Sekhmet 랜섬웨어용 마스터 복호화 키 온라인에 공개해 (0) | 2022.02.11 |
이메일 탈취에 악용되는 Zimbra 제로데이 취약점 (0) | 2022.02.08 |
새로운 서비스형 랜섬웨어 Sugar 주의 (0) | 2022.02.03 |
모든 리눅스 배포판에 영향을 주는 권한 상승 취약점 발견 (0) | 2022.01.28 |
댓글 영역