록빗 계열사, 2022년 한 해에만 1억 달러 이상 몸값 받아...실제는 3~4배 몸값 추정
자동화 심사 프로세스로 표적 선정, 전략적 회피, RaaS 활용, 계열사 역량 강화 등 주도면밀한 전략
스톤플라이 “올바른 예방조치, 강력한 사고대응 전략, 에어 갭 및 변경 불가 백업으로 대비해야”
[보안뉴스 김경애 기자] 세계 최대 규모 랜섬웨어 갱단으로 알려진 록빗(LockBit)이 주도면밀한 공격 전략으로 타깃을 공격해 돈을 뜯어내고 있다. 록빗 랜섬웨어는 다양한 버전으로 점점 더 파괴적인 기능을 보여주고 있으며, RaaS(Ransomware-as-a-Service) 비즈니스 모델과의 연결을 통해 피해가 확산되고 있다.
[이미지 = gettyimagesbank]
2022년, 1억 달러 이상의 몸값 받아
코브웨어의 2022년 랜섬웨어 보고서에 따르면 록빗에 지급한 평균 몸값은 2022년 1분기 110만 달러에서 2022년 4분기 180만 달러로 증가했다. 이는 대규모 조직의 결과 수치를 반영한 것으로, Alico(농업 회사)는 600만 달러, 털사 카운티는 120만 달러, AdventHealth는 100만 달러 이상을 지불한 것으로 드러났다. 특히, 2021년 영국은 랜섬웨어 공격으로 2억 달러 이상의 손실을 입었다고 발표했으며, 주요 원인으로 록빗을 지목했다.
또한, 체이널리시스(Chainalysis)에 따르면 록빗 계열사가 2022년 한 해에만 1억 달러 이상의 몸값을 받았다며, 그해 가장 수익성이 높은 랜섬웨어 조직으로 추정했다.
FBI는 총 랜섬웨어 비용(다운타임, 복구, 수익 손실 등)을 실제 몸값의 3~4배로 추정했다. 이는 록빗에서만 수십억 달러의 손실이 발생할 수 있음을 시사한다. 특히, 록빗은 2020년부터 의료, 운송, 에너지 및 제조와 같은 중요한 산업 전반에 걸쳐 전 세계에서 수천 개의 조직을 공격한 바 있어 수억 달러의 몸값 수익은 물론 가장 높은 비용을 지불해야 하는 랜섬웨어로 분석되고 있다.
올해 상반기에도 어김없이 록빗 랜섬웨어 갱단은 주도면밀한 공격을 펼쳤다. 공격 피해 기업은 굴지의 글로벌 기업을 비롯해 대기업 등이 상당수를 차지한다. 2023년 6월, 글로벌 반도체 제조기업 TSMC(Taiwan Semiconductor Manufacturing Company)를 해킹했다고 주장한 바 있으며, 지난 5월에는 MCNA(Managed Care of North America) Dental의 네트워크를 감염시켜 약 900만 명의 환자 데이터를 손상시키기도 했다. 또한, 지난 4월 호주 엔지니어링 회사, 지난 2월 뉴질랜드 제조기업을 표적 공격했으며, 지난 1월에는 캐나다 부동산 회사 Brookfield Residential를 랜섬웨어에 감염시켜 서버를 암호화한 후, 몸값을 요구한 바 있다.
록빗 랜섬웨어 계열 공격 조직의 특징
이처럼 록빗은 시간이 지남에 따라 점점 진화해 더 파괴적이고 정교한 랜섬웨어 변종으로 변모했다. 공격 조직은 돈을 뜯어낼 수 있는 기업을 찾아 주도면밀하게 공격을 수행한다. 첫째, 록빗은 의료·교육·금융·정부 기관을 포함하는 대기업을 타깃으로 집중 공략한다. 이 과정에서 자동화된 심사 프로세스를 통해 표적을 선정하고, 특정 기준을 충족하는지 확인하는 작업을 거친다.
둘째, 전략적 회피 전술을 펼친다. 록빗 랜섬웨어를 활용하는 공격 조직은 러시아 및 러시아 연방 국가 내의 기업을 표적으로 삼는 것을 자제한다.
셋째, 서비스형 랜섬웨어(RaaS)를 활용한다. 록빗은 계열사가 랜섬웨어에 라이선스를 부여하는 RaaS 비즈니스 모델로 운영된다. 몸값 지불은 이러한 계열사와 록빗 개발팀에게 분배된다.
넷째, 제휴사 역량을 강화하고 있다. 록빗 계열사는 제휴 대시보드, 맞춤형 랜섬웨어 페이로드를 제작하는 툴킷, 암호 해독기 생성기 프로그램, 안전한 암호화폐 결제 채널 및 피해자와의 통신 채널을 포함해 공격을 용이하게 하는 다양한 도구를 제공받는다. 이러한 리소스를 바탕으로 초보 해커도 대규모 공격을 실행할 수 있도록 단순화하고 있는 게 특징이다.
예방 조치, 사고대응 전략, 에어 갭 및 변경 불가능 백업으로 대비해야
따라서 기업과 기관은 올바른 예방 조치, 강력한 사고 대응 전략, 에어 갭 및 변경 불가능한 백업으로 록빗 랜섬웨어 공격에 대비해야 한다. 이와 관련 스톤플라이는 “기업과 기관은 올바른 예방조치와 강력한 사고대응 전략이 수립되어 있어야 한다”며 “스톤플라이가 제시하는 에어갭 및 변경 불가 기술을 이용한 저장장치와 백업을 통해 이러한 록빗 공격에 대응해야 한다”고 강조했다.
[김경애 기자(boan3@boannews.com)]
자동화 심사 프로세스로 표적 선정, 전략적 회피, RaaS 활용, 계열사 역량 강화 등 주도면밀한 전략
스톤플라이 “올바른 예방조치, 강력한 사고대응 전략, 에어 갭 및 변경 불가 백업으로 대비해야”
[보안뉴스 김경애 기자] 세계 최대 규모 랜섬웨어 갱단으로 알려진 록빗(LockBit)이 주도면밀한 공격 전략으로 타깃을 공격해 돈을 뜯어내고 있다. 록빗 랜섬웨어는 다양한 버전으로 점점 더 파괴적인 기능을 보여주고 있으며, RaaS(Ransomware-as-a-Service) 비즈니스 모델과의 연결을 통해 피해가 확산되고 있다.
[이미지 = gettyimagesbank]
2022년, 1억 달러 이상의 몸값 받아
코브웨어의 2022년 랜섬웨어 보고서에 따르면 록빗에 지급한 평균 몸값은 2022년 1분기 110만 달러에서 2022년 4분기 180만 달러로 증가했다. 이는 대규모 조직의 결과 수치를 반영한 것으로, Alico(농업 회사)는 600만 달러, 털사 카운티는 120만 달러, AdventHealth는 100만 달러 이상을 지불한 것으로 드러났다. 특히, 2021년 영국은 랜섬웨어 공격으로 2억 달러 이상의 손실을 입었다고 발표했으며, 주요 원인으로 록빗을 지목했다.
또한, 체이널리시스(Chainalysis)에 따르면 록빗 계열사가 2022년 한 해에만 1억 달러 이상의 몸값을 받았다며, 그해 가장 수익성이 높은 랜섬웨어 조직으로 추정했다.
FBI는 총 랜섬웨어 비용(다운타임, 복구, 수익 손실 등)을 실제 몸값의 3~4배로 추정했다. 이는 록빗에서만 수십억 달러의 손실이 발생할 수 있음을 시사한다. 특히, 록빗은 2020년부터 의료, 운송, 에너지 및 제조와 같은 중요한 산업 전반에 걸쳐 전 세계에서 수천 개의 조직을 공격한 바 있어 수억 달러의 몸값 수익은 물론 가장 높은 비용을 지불해야 하는 랜섬웨어로 분석되고 있다.
올해 상반기에도 어김없이 록빗 랜섬웨어 갱단은 주도면밀한 공격을 펼쳤다. 공격 피해 기업은 굴지의 글로벌 기업을 비롯해 대기업 등이 상당수를 차지한다. 2023년 6월, 글로벌 반도체 제조기업 TSMC(Taiwan Semiconductor Manufacturing Company)를 해킹했다고 주장한 바 있으며, 지난 5월에는 MCNA(Managed Care of North America) Dental의 네트워크를 감염시켜 약 900만 명의 환자 데이터를 손상시키기도 했다. 또한, 지난 4월 호주 엔지니어링 회사, 지난 2월 뉴질랜드 제조기업을 표적 공격했으며, 지난 1월에는 캐나다 부동산 회사 Brookfield Residential를 랜섬웨어에 감염시켜 서버를 암호화한 후, 몸값을 요구한 바 있다.
록빗 랜섬웨어 계열 공격 조직의 특징
이처럼 록빗은 시간이 지남에 따라 점점 진화해 더 파괴적이고 정교한 랜섬웨어 변종으로 변모했다. 공격 조직은 돈을 뜯어낼 수 있는 기업을 찾아 주도면밀하게 공격을 수행한다. 첫째, 록빗은 의료·교육·금융·정부 기관을 포함하는 대기업을 타깃으로 집중 공략한다. 이 과정에서 자동화된 심사 프로세스를 통해 표적을 선정하고, 특정 기준을 충족하는지 확인하는 작업을 거친다.
둘째, 전략적 회피 전술을 펼친다. 록빗 랜섬웨어를 활용하는 공격 조직은 러시아 및 러시아 연방 국가 내의 기업을 표적으로 삼는 것을 자제한다.
셋째, 서비스형 랜섬웨어(RaaS)를 활용한다. 록빗은 계열사가 랜섬웨어에 라이선스를 부여하는 RaaS 비즈니스 모델로 운영된다. 몸값 지불은 이러한 계열사와 록빗 개발팀에게 분배된다.
넷째, 제휴사 역량을 강화하고 있다. 록빗 계열사는 제휴 대시보드, 맞춤형 랜섬웨어 페이로드를 제작하는 툴킷, 암호 해독기 생성기 프로그램, 안전한 암호화폐 결제 채널 및 피해자와의 통신 채널을 포함해 공격을 용이하게 하는 다양한 도구를 제공받는다. 이러한 리소스를 바탕으로 초보 해커도 대규모 공격을 실행할 수 있도록 단순화하고 있는 게 특징이다.
예방 조치, 사고대응 전략, 에어 갭 및 변경 불가능 백업으로 대비해야
따라서 기업과 기관은 올바른 예방 조치, 강력한 사고 대응 전략, 에어 갭 및 변경 불가능한 백업으로 록빗 랜섬웨어 공격에 대비해야 한다. 이와 관련 스톤플라이는 “기업과 기관은 올바른 예방조치와 강력한 사고대응 전략이 수립되어 있어야 한다”며 “스톤플라이가 제시하는 에어갭 및 변경 불가 기술을 이용한 저장장치와 백업을 통해 이러한 록빗 공격에 대응해야 한다”고 강조했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
