공동 사이버 보안 자문, LockBit 랜섬웨어 위협 경고
미국 사이버보안 및 인프라 보안국(CISA), FBI, 다국가 정보 공유 및 분석 센터(MS-ISAC), 호주, 캐나다, 영국, 독일, 프랑스, 뉴질랜드의 사이버 보안 당국은 LockBit 랜섬웨어와 관련하여 사이버 보안 주의보를 발령했습니다.
'랜섬웨어 위협 행위자 이해'라는 제목의 공동 권고문에는 "랜섬웨어 위협 행위자: LockBit"이라는 제목의 이 권고문에는 LockBit 공격자들이 자주 사용하는 약 30개의 프리웨어 및 오픈 소스 기술 목록이 포함되어 있습니다. 또한 LockBit 공격자들이 사용하는 40개 이상의 전술, 방법 및 절차(TTP)에 대해 설명하며, 이를 잘 알려진 MITRE ATT&CK 방법론과 일반적으로 악용되는 취약점 및 노출(CVE)에 매핑합니다.
이 경고에는 LockBit RaaS(서비스형 랜섬웨어)의 진행 상황과 전 세계 동향 및 데이터에 대한 정보가 포함되어 있습니다. 이 경고는 제작 기관에서 액세스할 수 있는 다양한 도구와 서비스뿐만 아니라 LockBit의 글로벌 운영에 대한 방어를 강화하기 위해 권장되는 완화 조치를 제공합니다. 이 보고서는 Malwarebytes의 조사 결과를 확인하여 LockBit을 가장 활동적인 서비스형 랜섬웨어 운영자로 식별했습니다. 정기적인 Malwarebytes 랜섬웨어 리뷰 평가에서는 일반적으로 피해자 수 측면에서 LockBit이 가장 큰 위협으로 평가되지만 Cl0p가 근접한 도전자로 나타납니다.
이 권고에 따르면 LockBit은 최근 몇 달 동안 가장 활발하게 활동하는 랜섬웨어 그룹 중 하나였습니다. 2022년에 호주에서 보고된 전체 랜섬웨어 사고의 18%, 캐나다에서 22%, 뉴질랜드에서 23% 이상을 일으켰습니다. 미국에서는 시 및 카운티 정부, 공립 고등 교육 기관, 초중고 학교, 법 집행 기관을 포함한 중요 서비스에 대한 공격의 16%에 LockBit이 관여했습니다.
따라서 분산되고 단절된 특성으로 인해 LockBit 계열사가 사용하는 전술, 방법 및 절차(TTP)에는 상당한 차이가 있습니다. 이러한 이질성은 효과적인 네트워크 보안을 유지하고 LockBit이 제기하는 다차원 랜섬웨어 위협으로부터 보호하려는 기업에게 중요한 도전 과제입니다. 이 권고문은 또한 RaaS 패러다임 내부의 복잡한 신뢰 메커니즘에 대해서도 자세히 설명합니다. 익명의 범죄자들과 협력하려면 높은 수준의 상호 신뢰가 필요하며, 이는 DarkSide 및 Avaddon과 같은 다른 RaaS 운영자가 문을 닫은 이유를 설명할 수 있습니다.
이 글의 출처는 Malwarebytes의 기사입니다.