LockBit, 베트남의 Windows 도메인 서버 공격

보안 전문가들은 이 맬웨어가 암호화 스크립트와 확산 방법 모두에서 훨씬 더 정교한 개선을 거쳤으며, 기존 보안 솔루션을 우회할 수 있다고 말합니다.

지난 2개월 동안 Bkav 전문가들은 베트남의 많은 기업으로부터 내부 네트워크의 모든 컴퓨터가 동시에 암호화되어 데이터를 저장할 수 없는 일반적인 상황에 대한 도움 요청을 지속적으로 받았습니다.

많은 사례에 대한 조사 및 분석 결과, 데이터를 암호화한 자는 LockBit 3.0, 즉 LockBit Black이라는 랜섬웨어로 밝혀졌습니다. LockBit 3.0은 유명 해커 그룹의 랜섬웨어로, 최근 국제 경찰 연합(영국 국가 범죄 수사국(NCA), 미국 연방수사국(FBI), 유럽연합 경찰청(유로폴) 포함)에 의해 파괴되었습니다.

LockBit Black은 이전 변종보다 더욱 정교하게 개선되었습니다. 특히 내부 시스템의 Windows 도메인 관리 서버를 표적으로 삼도록 설계되었습니다. 침투 후, 바이러스는 해당 서버를 이용하여 전체 시스템으로 확산을 계속하며 보안 솔루션(백신, 방화벽 비활성화)을 무력화하고 악성 코드를 복사 및 실행합니다. 이러한 방식으로 바이러스는 이전처럼 각 시스템을 공격하지 않고도 내부 시스템의 모든 시스템을 동시에 암호화할 수 있습니다.

LockBit Black은 공격 방식과 대상을 변경할 뿐만 아니라, 더욱 위험한 데이터 암호화 시나리오도 가지고 있습니다. 이 바이러스는 실행 시 데이터를 직접 암호화하는 대신, 권한을 상승시킨 후 UAC를 우회하고, 마지막으로 피해자의 컴퓨터를 안전 모드(시스템과 일부 애플리케이션만 실행되는 모드)로 재부팅하여 데이터 암호화를 수행합니다. 이러한 방식으로 이 맬웨어는 기존의 보안 솔루션을 우회할 수 있습니다.

LockBit 및 기타 데이터 암호화 바이러스의 공격을 피하기 위해 Bkav 전문가들은 사용자와 시스템 관리자가 다음을 수행할 것을 권장합니다.

• 중요한 데이터는 정기적으로 백업하세요.
  
• 불필요하게 인터넷의 내부 서비스 포트를 열지 마세요.
  
• 서비스를 인터넷에 공개하기 전에 보안을 평가하세요.
  
• 지속적인 보호를 위해 충분히 강력한 바이러스 백신 소프트웨어를 설치하세요.