미국, 록빗 랜섬웨어 대응 공동 경고문 발표
상태바
미국, 록빗 랜섬웨어 대응 공동 경고문 발표
  • 곽중희 기자
  • 승인 2023.03.20 11:22
  • 댓글 0
이 기사를 공유합니다

미국 연방수사국(FBI), 사이버보안 및 인프라 보안국(CISA), 다중주 정보공유분석센터(MS-ISAC)가 록빗(LockBit) 랜섬웨어와 관련한 사이버 보안 공동문을 발표했다. 경고문에는 록빗 랜섬웨어 관련 침해 지표(IOC)와 공격 전술·기법·절차(TTP) 등이 포함됐다.

록빗 랜섬웨어의 진화

록빗 랜섬웨어 그룹은 최근 최신 버전의 랜섬웨어인 3.0을 사용하고 있다. 이 버전은 이전 랜섬웨어의 후속 버전으로보다 더 정교한 모듈형 악성코드다. 암호화를 사용해 코드를 보호하므로 서명 기반 악성 프로그램 보호 솔루션으로 탐지하기가 어렵다. 록빗 랜섬웨어 3.0은 컴파일 시 미리 구성된 자격 증명 목록 혹은 높은 권한을 가진 손상된 로컬 계정을 사용한다.

록비트 3.0 랜섬웨어 그룹이 사용하는 초기 공격 벡터로는 원격 데스크톱 프로토콜(RDP) 악용, 피싱 캠페인, 공개 애플리케이션 남용 등이 있다. 일단 배포되면 랜섬웨어는 권한을 높이고 프로세스와 서비스를 종료하며 로그와 휴지통 폴더의 파일과 디스크에서 복사본을 삭제하려고 시도한다. 

랜섬웨어는 사용자 계정 제어(UAC)를 우회하고 높은 구성요소 객체 모델(COM) 인터페이스를 통해 높은 권한으로 코드를 실행할 수 있다. 또한 엔드포인트 바이러스 백신 및 탐지를 우회하는 기능도 지원한다.

록빗 랜섬웨어의 다양한 공격 도구

록빗 랜섬웨어 그룹은 사용자 지정 스필 툴인 스틸비트와 메가와 같은 공개적으로 사용 가능한 파일 공유 서비스를 포함해 암호화하기 전에 다양한 도구를 사용하여 데이터를 유출시킨다. 또한 네트워크 정찰, 원격 액세스 및 터널링, 자격 증명 덤핑, 파일 유출과 같은 활동에 프리웨어 및 오픈 소스 도구도 사용하는 것으로 파악됐다.

미 주요 기관, 록빗 랜섬웨어 대응 권고 

미국의 주요 기관이 발동한 공동 경고에는 록빗 3.0 랜섬웨어의 위협을 줄이기 위한 완화 및 보안 제어 방법이 포함돼 있다. 이러한 제어에는 다중 요소 인증 구현, 시스템 및 소프트웨어 업데이트 유지, 사용자 권한 제한, 중요 데이터 정기 백업 등이 포함된다.

 

*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.