탐지 회피, 분석 방지 기능 강화된 랜섬웨어 새 버전 사용
사이버 범죄 근절 어려움 보여 줘

[보안뉴스 김형근 기자] 악명 높은 랜섬웨어 집단 ‘록빗’(LockBit)이 더 강해진 악성코드를 들고 돌아왔다. 작년 국제 사법기관이 공조한 ‘크로노스 작전’(Operation Cronos)으로 조직이 와해된 지 1년여 만이다.

조직 운영자 ‘록빗섭’(LockBitSupp)이 조직을 재건하고 새 버전 랜섬웨어 ‘록빗 5.0’을 들고 공격에 나서 이미 피해자가 발생하고 있다고 보안 기업 체크포인트가 밝혔다.

부활한 록빗은 9월 한 달 동안 서유럽과 아메리카, 아시아 등에 걸쳐 수십 개 조직을 침해하며 건재를 과시했다.

이 공격 중 절반이 새로 나온 록빗 5.0 변종을 사용했으며, 나머지 공격엔 기존 ‘록빗 블랙’(LockBit Black)이 동원됐다.

감염된 시스템 중 약 80%가 윈도우 환경이었고, 나머지 20%는 ESXi 및 리눅스 시스템이었다. 이는 록빗이 서버 가상화 환경까지 광범위하게 노리고 있음을 보여준다.


▲록빗 5.0 제휴 신청 화면 [자료: 체크포인트]

록빗 5.0은 탐지 가능성을 최소화하면서도 피해는 최대화하도록 기술적 개선을 이뤘다. 가장 큰 특징은 윈도우, 리눅스, ESXi 환경을 모두 지원하는 전용 빌드를 갖추고 다중 플랫폼 배포를 지원한다는 점이다.

또 암호화 루틴이 최적화돼 시스템 전체 파일 암호화 속도가 훨씬 빨라졌다. 이는 방어자가 대응할 수 있는 시간을 대폭 줄인다.

탐지 회피 기능도 강화됐다. 록빗 5.0은 무작위 16자 파일 확장자를 사용해 기존 시그니처 기반 탐지 시스템을 무력화한다.

강화된 분석 방지(anti-analysis) 기능은 포렌식 조사와 역공학 시도를 방해해 보안 연구자들이 악성코드의 행동을 분석하기 어렵게 만든다.

업데이트된 랜섬 노트에는 자신이 록빗 5.0임을 명시하며, 훔친 데이터를 공개하기 전까지 30일의 협상 기한을 제시하는 맞춤형 협상 링크를 제공한다.

체크포인트 연구진은 이번 캠페인이 록빗의 ‘서비스형 랜섬웨어’(RaaS) 모델이 성공적으로 재가동되었음을 입증한다고 밝혔다. 사이버 범죄 조직의 끈질긴 회복 탄력성을 극명하게 보여주는 사례라는 평가다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>