주요 요점
- 사이버 범죄 단속으로 LockBit 조직망과 제휴 네트워크가 마비되었지만, 다른 랜섬웨어 집단들이 그 기회를 엿보고 있습니다.
- LockBit 운영 중단에 협력한 기관들은 피해자들을 위한 암호 해독 도구를 배포하기 시작했지만, 완전한 복구를 보장하지는 않습니다.
- LockBit의 활동 중단에도 불구하고, 새로운 랜섬웨어 그룹들이 등장하며 그 빈자리를 채우려 하고 있으며, 특히 주목할 만한 5가지 유형이 있습니다.
최근 몇 년간 LockBit은 가장 악명 높은 랜섬웨어 그룹 중 하나로, 막대한 금전적 이득을 취하고 그 과정에서 광범위한 데이터 유출을 일으켰습니다.
그러나 국제적인 공조 수사로 인해 LockBit의 기반 시설이 심각하게 와해되었고, 그 결과 웹사이트가 폐쇄되고, 제휴 네트워크 및 암호화폐 자산이 노출되었습니다. 안타깝게도, 이는 랜섬웨어 위협이 사라졌다는 것을 의미하지는 않습니다. LockBit의 빈틈을 노리고 있는 다른 랜섬웨어들이 많이 있기 때문입니다.
LockBit 랜섬웨어란 무엇인가?
랜섬웨어는 가장 위험한 악성 프로그램 중 하나로, 컴퓨터를 잠그고 데이터 접근을 제한한 후, 이를 해제하는 조건으로 금전을 요구합니다.
LockBit은 이와 같은 랜섬웨어를 개발, 운영, 유포하는 범죄 조직입니다. LockBit 랜섬웨어는 전 세계 수많은 기업, 단체 및 개인을 공격하여 엄청난 피해를 입히고 수십억 달러의 수익을 올린 것으로 알려져 있습니다.
LockBit은 자체 전파 능력을 가지고 있어 특히 위험합니다. 즉, 사람의 개입 없이 스스로 확산될 수 있어, 다른 랜섬웨어와 차별화됩니다. 이는 LockBit 공격을 막는 것을 매우 어렵게 만듭니다. 랜섬웨어가 취약한 대상을 스스로 찾아 공격할 수 있기 때문입니다.
또한 LockBit 그룹은 랜섬웨어 기능을 지속적으로 업데이트하며, 새로운 기능 추가와 기존 기능 조정을 통해 위협에 대응합니다. LockBit 3.0은 2022년 6월에 발표된 가장 최신 업데이트입니다.
LockBit에게 무슨 일이 일어났는가?
2024년 2월 19일, FBI, 영국 국가범죄수사국, 유로폴을 포함한 국제 법 집행 기관들은 합동 작전을 통해 LockBit 조직망을 심각하게 와해시켰다고 발표했습니다.
“Operation Cronos” 작전은 LockBit의 소유자 및 협력자(LockBit은 랜섬웨어를 서비스 형태로 제공하고, 개발자들에게 수익의 일부를 지급하는 네트워크를 운영)를 겨냥하여, 그들의 네트워크를 차단하고 약 11,000개의 도메인과 서버를 폐쇄했습니다. 또한, 두 명의 LockBit 개발자가 체포되었으며, 다른 협력자들도 이 작전의 일환으로 검거되었습니다.
CISA에 따르면, LockBit 공격은 2022년 미국, 영국, 캐나다, 호주, 뉴질랜드에서 발생한 랜섬웨어 공격의 15% 이상을 차지했습니다. 이는 엄청난 수치입니다. 당국의 통제하에 놓이게 됨에 따라, LockBit 네트워크의 운영 및 통제 능력은 사실상 무력화되었습니다.
LockBit 암호 해독 도구는 언제 사용 가능해지는가?
LockBit 운영 중단에 참여한 일부 기관들은 신속하게 움직여 LockBit 암호 해독 도구를 배포하고 피해자들에게 암호 해독 키를 제공하기 시작했습니다.
- 미국/FBI: 다음을 통해 FBI에 연락하여 키를 얻을 수 있습니다. LockBit 피해자 지원 센터
- 영국/NCA: 다음 이메일을 통해 NCA에 문의하여 키를 받을 수 있습니다. [email protected]
- 기타/유로폴, 네덜란드 경찰(Polite): Lockbit 3.0 암호 해독 지침을 따르십시오. No More Ransom
LockBit으로 암호화된 파일을 복구할 수 있을 것이라는 보장은 없지만, 시도해 볼 가치는 충분합니다. 특히, LockBit은 몸값을 받은 후에도 항상 올바른 암호 해독 키를 제공하지 않았던 전례가 있기 때문입니다.
LockBit을 대체할 5가지 랜섬웨어 유형
LockBit은 상당한 양의 랜섬웨어 공격을 주도했지만, 활동 중인 유일한 랜섬웨어 그룹은 아닙니다. LockBit의 활동 중단은 다른 랜섬웨어 그룹들에게 기회가 될 수 있는 단기적인 공백을 만들 가능성이 높습니다. 이러한 점을 염두에 두고, 주의해야 할 5가지 랜섬웨어 유형은 다음과 같습니다.
- ALPHV/BlackCat: 서비스형 랜섬웨어 모델을 사용하는 ALPHV/BlackCat은 전 세계 수백 개 조직에 피해를 입혔습니다. 이 랜섬웨어는 Rust 프로그래밍 언어로 전적으로 작성된 최초의 랜섬웨어 중 하나이며, Windows 및 Linux 하드웨어를 모두 대상으로 삼는 데 용이합니다.
- Cl0p: Cl0p 그룹은 최소 2019년부터 활동했으며, 5억 달러 이상의 몸값을 갈취한 것으로 추정됩니다. Cl0p은 일반적으로 민감한 정보를 유출한 후 피해자에게 몸값 지불을 강요하며, 암호화된 데이터 공개와 민감한 데이터 유출을 막으려 합니다.
- Play/PlayCrypt: 비교적 최신 랜섬웨어인 Play(PlayCrypt라고도 함)는 2022년에 처음 등장했으며, 랜섬웨어 공격 시 사용되는 “.play” 파일 확장자로 잘 알려져 있습니다. Cl0p과 마찬가지로 Play 그룹 또한 이중 갈취 전술을 사용하며, 피해자를 압박하기 위해 다양한 취약점을 악용합니다.
- Royal: Royal은 서비스형 랜섬웨어 모델을 사용하지만, 다른 랜섬웨어 그룹처럼 정보와 코드를 공유하지 않습니다. 다른 그룹들과 마찬가지로, Royal 또한 데이터를 훔쳐 이를 이용해 몸값을 요구하는 다중 갈취 전술을 사용합니다.
- 8Base: 8Base는 2023년 중반에 갑작스럽게 등장했으며, RansomHouse와 같은 다른 주요 랜섬웨어 그룹과의 밀접한 연관성을 가지고 있으며, 다양한 갈취 유형을 특징으로 하는 랜섬웨어 활동의 급증을 주도하고 있습니다.
Malwarebytes 연구 에 따르면, LockBit은 가장 활발한 랜섬웨어 유형 중 하나였지만, 상위 10개 랜섬웨어 조직이 전체 랜섬웨어 공격의 70%를 차지하고 있습니다. 따라서 LockBit이 사라지더라도 랜섬웨어 위협은 항상 존재할 것입니다.
LockBit 랜섬웨어가 완전히 사라졌는가?
LockBit의 활동 중단 소식은 놀랍지만, LockBit 랜섬웨어가 완전히 사라졌다고 단정할 수는 없습니다. Ars Technica 는 운영 중단 후 며칠 만에 새로운 LockBit 공격이 발생했다고 보도했습니다. 여기에는 몇 가지 이유가 있습니다.
첫째, LockBit의 기반 시설이 중단되었지만 랜섬웨어 코드가 완전히 사라진 것은 아닙니다. LockBit의 소스 코드 버전은 2022년에 유출되었으며, 이로 인해 새로운 공격이 발생할 가능성이 있습니다. 또한, LockBit은 여러 국가에 걸쳐 광범위한 네트워크를 가지고 있었습니다. 비록 운영 기반이 러시아에 집중되어 있지만, 이 정도 규모와 복잡성을 가진 조직은 시간이 걸리더라도 확실히 복구할 수 있는 백업 계획과 방법을 가지고 있을 것입니다.
의심할 여지없이, LockBit 랜섬웨어의 위협은 아직 완전히 끝난 것이 아닙니다.