한 사이버 보안 연구팀이 최근 유행하고 있는 록빗(LockBit) 3.0 랜섬웨어와 다크사이드 랜섬웨어의 변종인 블랙매터 간의 유사점을 발견했다.
지난 6월 출시된 록빗 3.0 랜섬웨어는 버그 바운티 프로그램 운용, Zcash 지불 등 정책을 공개했다. 록빗 랜섬웨어 조직은 2019년부터 활동했으며, 최근 가장 활동적인 랜섬웨어 조직 중 하나로 꼽힌다.
록빗 3.0 랜섬웨어는 최근 암호화된 파일 이름에 확장자 HLJkNskOq 또는 19MqZqZ0s를 추가하고 해당 아이콘을 .ico 파일의 아이콘으로 변경하는 것으로 알려져 있다.
록빗 3.0과 블랙매터의 유사성
록빗 3.0 랜섬웨어는 감염 프로세스가 완료되면, 시스템의 배경 화면을 변경해 공격을 알린다.
트렌드마이크로 연구팀은 록빗 3.0 샘플을 디버깅하는 동안 록빗 3.0 코드의 여러 부분이 블랙매터 랜섬웨어와 비슷한 점을 찾아냈다.
연구팀은 “록빗 3.0이 주요 루틴을 해독하기 위해 통과 매개 변수가 필요하다는 것을 발견했다. 록빗 3.0은 DLL의 API 이름을 해시한 다음 랜섬웨어에 필요한 API 목록과 비교해 API 수집을 수행한다. 블랙매터의 API 이름을 변경하기 위해 외부에서 사용 가능한 스크립트가 록빗 3.0에서도 작동하기 때문에 이 루틴은 블랙매터의 루틴과 동일하다고 볼 수 있다”라고 설명했다.
전문가들은 록빗 3.0에서 블랙매터가 다양한 활동을 수행하는 API를 식별하기 위해 사용하는 권한 상승 및 수집 루틴과의 유사성을 발견했다고 말했다.
록빗 3.0은 CIS(Commonwealth of Independent States) 주에서 사용되는 언어로 시스템을 감염시키는 것을 숨기기 위해 피해자 시스템의 UI 언어를 확인한다. 볼륨 섀도 복사본 삭제는 록빗 3.0에 의해 구현되며, 블랙매터는 COM 개체를 통해 WMI(Windows Management Instrumentation)를 사용한다. 전문가들은 록빗 2.0이 삭제를 위해 vssadmin.exe를 사용한다고 했다.
트렌드마이크로 연구팀은 "록빗 3.0의 출시로 록빗 랜섬웨어의 활동이 앞으로 더욱 활발해질 것으로 예상된다. 특히 버그 바운티 프로그램이 운영자가 랜섬웨어를 더욱 강력하게 만드는 데 영향을 줄 수 있다. 따라서 조직과 사용자들에게 록빗 3.0에 대한 강력한 주의를 줘야 한다”라고 말했다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
