ClickCease 락빗을 잠그다: 랜섬웨어 카르텔의 몰락: 랜섬웨어의 몰락

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

락빗을 잠그다: 랜섬웨어 카르텔의 몰락: 랜섬웨어의 몰락

조아오 코레이아

2024년 2월 28일 - 기술 에반젤리스트

이 글을 쓰고 있는 지금 이 순간에도 이번 주 초에 사이버 보안에 관한 폭탄 같은 소식이 전해졌는데, 이는 사실 긍정적인 반전입니다. 바로 국제 법 집행 기관이 락빗 랜섬웨어 인프라를 압수하고 범죄 조직 관련자를 체포하고 락빗으로 암호화된 파일을 위한 공식 해독 도구가 출시되는 결과를 가져온 '크로노스 작전'에 대해 이야기하고 있는 것입니다.

 

 

랜섬웨어 현장

 

 

랜섬웨어는 가장 교활한 유형의 멀웨어 중 하나로, 악의적인 공격자가 다양한 방법을 통해 대상 시스템에 저장된 파일을 암호화하도록 특별히 맞춤화된 소프트웨어를 배포하여 피해 조직이나 개인이 해당 파일에 대한 액세스 권한을 복원하기 위해 '몸값'을 지불하는 데 동의할 때까지 파일을 사용할 수 없게 만드는 악성 코드입니다.

몸값 지불에 실제로 동의한다고 해서 실제로 해당 파일에 다시 액세스할 수 있는 것은 아니며(도둑들 사이에는 명예가 없다는 속담처럼), 다음 갈취를 당할 수 있는 기꺼이 희생자가 될 수 있다는 점을 명심하세요.

게다가 랜섬웨어 운영자는 이제 자신의 데이터에 다시 액세스하기 위해 먼저 돈을 지불한 다음, 악의적인 공격자가 암호화 전에 유출한 데이터가 온라인에 공개되지 않도록 돈을 지불하도록 '초대'하는 이른바 이중 강탈 수법도 사용합니다. 지적 재산, 영업 비밀, 기밀 계약, 개인 식별 정보는 모두 이러한 부도덕한 개인과 단체의 공정한 표적이 될 수 있습니다.

실제로 이 전술은 매우 성공적이어서 랜섬웨어에 집중하는 그룹은 이제 대기업과 같은 조직을 운영하고 있으며, 서비스형 랜섬웨어를 중심으로 전체 경제 모델을 개발하여 '계열사'에 인프라와 소프트웨어를 제공하고, 이들이 대상 조직을 찾아 공격하면 랜섬웨어 조직에 수수료(약 30%로 보고됨)를 주고 랜섬웨어 조직은 몸값을 세탁하는 방식으로 진행합니다. 

작년까지만 해도 랜섬웨어 업계에는 세 개의 주요 업체가 있었습니다: 알프브이/블랙캣, 콘티, 락빗. 처음 두 업체는 2023년 하반기에 법 집행 기관의 표적이 되었으며, 완전히 제거되지는 않았더라도 계속 활동할 수 있는 능력이 심각하게 제한되었습니다.

이번 주에는 락빗이 타격을 입었습니다.

 

락비트 잠금

 

 

크로노스 작전이라고 불리는 이번 락빗 단속은 현재 진행 중인 랜섬웨어와의 전쟁에서 중요한 이정표가 될 것입니다. 영국 국가범죄청(NCA), FBI를 비롯한 여러 국제 법 집행 기관이 참여하고 유로폴과 유로저스트가 국경을 넘어 협력한 이 작전은 사이버 범죄를 저지하는 데 있어 국제 공조의 힘을 보여 줍니다.

최근 법 집행 기관의 발표를 통해 암호화폐 및 자금 세탁 관행부터 고급 거래 기술, 계열사를 지원하는 데 사용되는 인프라에 이르기까지 락빗의 복잡한 운영 방식이 밝혀졌습니다. 이러한 폭로는 현대 랜섬웨어 조직의 활동에 대한 귀중한 통찰력을 제공하고 오늘날 사이버 보안 전문가들이 직면한 과제를 강조합니다.

 

 

사이버 범죄에 대한 공동의 공격

 

 

폴란드와 우크라이나에서 200개가 넘는 암호화폐 지갑이 압수된 이번 사건은 사이버 범죄자들에 대한 해킹 반격의 효과를 보여줍니다. 당국은 락빗 조직의 서버에 침투하여 랜섬웨어 인프라의 상당 부분을 해체하여 운영을 마비시키고 수많은 잠재적 피해자를 구제할 수 있었습니다.

또한, 법 집행 기관과 SecureWorks 및 TrendMicro와 같은 사이버 보안 회사 간의 협력은 Lockbit의 전술과 향후 랜섬웨어의 반복을 분석하는 데 중요한 역할을 했습니다. 이러한 파트너십을 통해 락빗을 쉽게 제거할 수 있었을 뿐만 아니라 락빗 해독 도구가 출시되어 피해를 입은 기업들에게 생명줄을 제공했습니다.

사실, 암호 해독기 도구의 출시는 랜섬웨어 사고가 발생하면 암호화된 데이터를 최대한 오래 보관해야 한다는 주장이 오랫동안 제기되어 온 점을 다시 한 번 강조합니다. 과거에 여러 차례의 작업을 통해 데이터를 암호화하는 데 사용된 개인 키가 밝혀졌고 대중에게 공개되었습니다. 기다릴 수 있는 상황, 즉 암호화된 데이터가 당장 필요하지 않은 경우에는 이러한 관망 전략이 이 문제에 접근할 때 더 저렴하고 잠재적으로 더 안전할 수 있습니다.

 

 

제재 및 사이버 보안 권고: 이중 접근 방식

 

 

The 러시아에 본사를 둔 락빗 그룹의 계열사에 제재를 가하기로 한 미국의 결정은 은 사이버 위협에 대한 범정부적 접근 방식에 대한 정부의 의지를 강조합니다. 이러한 제재는 상세한 사이버 보안 권고와 함께 랜섬웨어 공격으로부터 시민과 기관을 보호하고 이러한 악의적인 활동을 가능하게 하는 사람들에게 책임을 묻는 것을 목표로 합니다.

 

 

Lockbit: 랜섬웨어 진화의 사례 연구

 

 

서비스형 랜섬웨어 모델과 이중 갈취 전술로 잘 알려진 락빗은 진화하는 사이버 범죄의 위협 환경을 대표합니다. 몸값을 요구하기 전에 방대한 양의 데이터를 유출하고 암호화하는 능력으로 인해 전 세계에서 가장 많은 변종 랜섬웨어 중 하나가 되었습니다. 참고로, 이 그룹은 작년에만 몸값으로 1억 달러 이상을 받은 것으로 알려졌습니다.

도난당한 데이터를 호스팅하는 데 사용된 서버와 다크웹 유출 사이트를 포함한 Lockbit의 인프라를 압수한 것은 법 집행 기관의 중요한 승리입니다. 하지만 사이버 범죄자들의 끈질기고 적응력이 뛰어난 특성을 상기시키는 계기가 되기도 합니다.

 

 

테이크다운의 아이러니

 

 

그렇다면 정확히 어떻게 락빗이 중단되었을까요? 어니언 네트워크에 연결된 웹 서버 중 하나가 알려진 취약점에 대한 패치가 적용되지 않은 것으로 밝혀졌습니다. 피해자의 시스템에 불법적으로 액세스하는 데 사용된 것과 동일한 수법을 사용하여 Lockbit이 랜섬웨어 피해자에게 "고객" 지원을 제공한 서버(몸값을 흥정하고 피해자가 몸값을 지불하도록 협박하는 서버)에 액세스하고 해당 서버를 식별했습니다.

이 웹사이트는 PHP 8 위에서 실행 중이었고, 특정 버전은 다음에 취약했습니다. CVE-2023-3824. 누구나 한 번쯤은 패치를 지연한 적이 있을 겁니다.

 

 

앞으로 나아가기: 교훈과 앞으로 나아갈 길

 

 

작전 크로노스를 통한 락빗의 성공은 사이버 보안에 대한 국제적 협력의 중요성과 다각적인 접근 방식의 필요성을 보여주는 증거입니다. 이번 승리를 축하하는 동시에 랜섬웨어 전술의 불가피한 진화와 새로운 위협의 출현에 대비해야 합니다.

랜섬웨어의 경제적 동력으로 인해 현재 열려 있는 공간은 의심할 여지 없이 새로운 행위자와 그룹에 의해 빠르게 점령될 것입니다. 일부 락빗 조직원들은 국제 법 집행 기관의 손길이 미치지 않는 관할권에 머물러 있어 사실상 제재의 영향을 받지 않기 때문에, 새로운 변종이나 브랜드를 변경한 락빗 조직이 다시 등장하는 상황을 상상하는 것은 그리 어려운 일이 아닙니다.

사이버 보안 전문가, 조직, 개인 모두 경계를 늦추지 말고 선제적인 방어 조치를 채택하고 협력을 강화하여 랜섬웨어의 위협에 대응해야 합니다. 사이버 범죄와의 싸움은 아직 끝나지 않았지만, 크로노스와 같은 작전은 현재 진행 중인 이 싸움에서 미래의 성공에 대한 희망과 청사진을 제시합니다. 

이 이야기의 (매우) 긍정적인 측면은 일반적으로 묘사되는 것처럼 해커의 대가라는 고정관념 뒤에 숨어 있는 범죄 조직이 실제로 얼마나 취약한지를 다시 한 번 보여준다는 점입니다.

 

요약
락빗을 잠그다: 랜섬웨어 카르텔의 몰락: 랜섬웨어의 몰락
기사 이름
락빗을 잠그다: 랜섬웨어 카르텔의 몰락: 랜섬웨어의 몰락
설명
방금 사이버 보안에 대한 폭탄 같은 소식이 전해졌는데, 이는 긍정적인 반전입니다. 락빗 랜섬웨어에 대해 이야기해 보겠습니다.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기