FBI, Lockbit 랜섬웨어 기술 세부 정보 및 보안 지침 공유

FBI(연방수사국)는 2022년 2월 4일에 발표된 새로운 플래시 경고에서 LockBit 랜섬웨어 공격과 관련된 기술적 세부 정보와 침해 지표를 발표했습니다.

 

LockBit 랜섬웨어 그룹은 2019년 9월 RaaS(Ransomware-as-a-Service)로 출시된 이후 현재까지 활발하게 활동하고 있습니다. 또한 그룹 대표가 서비스를 홍보하고 러시아 해킹 포럼에 대한 지원을 제공하며 랜섬웨어 공격 및 네트워크 암호화를 할 공격자들을 모집합니다.

 

2021년 6월 LockBit은 랜섬웨어 공격자들이 사이버 범죄 포럼에서 포스팅이 금지되자, LockBit 데이터 유출 홈페이지에 LockBit 2.0 RaaS를 공개했습니다.  이후 랜섬웨어 그룹은 Tor 사이트를 재설계하고 악성코드에 AD 그룹 정책을 통한 ‘Windows 도메인 장치 자동 암호화’를 비롯한 고급 기능을 추가했으며 1월에는 VMWare ESXi 서버를 대상으로 하는 Linux 암호화 도구도 추가한 것으로 밝혀졌습니다.  최근에는 LockBit 그룹이 VPN 및 RDP를 통해 기업 네트워크에 액세스 할 수 있도록 내부자를 모집하고 있다고도 알려졌습니다.

 

FBI는 LockBit 랜섬웨어가 작동하는 방식에 대한 기술적인 세부 사항 중 악성코드가 [SHIFT] + [F1] 키를 사용하여 감염 과정에서 활성화할 수 있는 숨겨진 디버그 창을 확인할 수 있다고 밝혔습니다.

[그림 1]과 같이 랜섬웨어 디버그 창에서는 암호화 과정에 대한 실시간 정보를 확인할 수 있으며 사용자 데이터 파기 현황을 추적하는 데 사용할 수 있습니다.

 

[그림 1] LockBit 랜섬웨어 상태 창(출처 : BleepingComputer)

 

FBI는 이 플래시 경고를 발표한 원인을 밝히지 않았지만, 관리자와 사이버 보안 전문가에게 회사 네트워크를 표적으로 하는 LockBit 랜섬웨어 공격에 대한 정보를 공유하도록 요청했습니다.

연방 기관은 “FBI는 외부 IP 주소와의 통신 로그, 랜섬 노트 샘플, 공격자와의 통신, 비트코인 지갑 정보, 암호 해독기 파일 및 암호화된 파일 샘플 등 공유할 수 있는 모든 정보를 찾고 있습니다.”  “의심스럽거나 범죄 행위에 관한 정보를 지역 FBI에 보고할 것을 권장합니다.”  “관련 정보를 FBI Cyber Squads에 보고함으로써 FBI가 악의적인 행위자를 추적하고 미래의 침입과 공격을 방지하기 위해 민간 산업 및 미국 정부와 협력할 수 있도록 정보를 공유하는 데 도움이 됩니다.”  라고 말했습니다.

 

FBI는 또한 랜섬 머니 지불을 권장하지 않으며 지불하는 것이 미래의 공격이나 데이터 유출로부터 보호할 수 있다는 보장이 없기 때문에 회사에 랜섬 머니 지불을 권장하지 않는다고 덧붙였습니다.  랜섬웨어 갱단의 요구대로 랜섬 머니를 지불하면 운영 자금이 추가되고 더 많은 희생자를 노리도록 동기를 부여하며 또 다른 사이버 범죄 그룹이 불법 활동에 가담하도록 장려합니다.

 

대응 방안

아래는 FBI에서 제공하는 LockBit 랜섬웨어 공격 시도로부터 네트워크를 보호하는 공격 완화 방법입니다.

• 패스워드가 설정되어 있는 모든 로그인 계정(ex: 서비스 계정, 관리자 계정 및 도메인 관리자 계정)에 강력하고 고유한 패스워드 설정
• 가능한 모든 서비스에 대해 다단계 인증 요구
• 모든 운영 체제 및 소프트웨어를 최신 버전으로 업데이트
• 관리 공유에 대한 불필요한 접근 제거
• 호스트 기반 방화벽을 사용하여 제한된 관리자 시스템에서 SMB(Server Message Block)를 통한 관리 공유 연결만 허용
• 중요 파일에 대한 무단 변경을 방지하려면 Windows 운영 체제에서 보호된 파일을 활성화

관리자는 아래 조치를 통해 랜섬웨어 그룹으로부터 네트워크 검색을 완화할 수 있습니다.

• 랜섬웨어 확산 방지를 위한 네트워크 분할
• 네트워크 모니터링 도구를 사용하여 표시된 랜섬웨어의 비정상적인 활동 및 잠재적 확산을 식별, 감지 및 조사
• 관리자 수준 이상에서 설정된 계정에 대한 시간 기반 액세스 구현
• 명령줄 및 스크립팅 활동 및 권한 비활성화
• 데이터의 오프라인 백업을 유지하고 정기적으로 백업 및 복원을 유지
• 모든 백업 데이터가 암호화되고 변경 불가능하며 전체 조직의 데이터를 포괄하는지 확인

(출처 :
https://www.bleepingcomputer.com/news/security/fbi-shares-lockbit-ransomware-technical-details-defense-tips/
https://www.ic3.gov/Media/News/2022/220204.pdf)

 

 

보안관제센터 MIR Team