스스로 확산되는 LockBit 랜섬웨어, 시스템 225개 빠르게 감염시켜

LockBit ransomware self-spreads to quickly encrypt 225 systems

LockBit 랜섬웨어가 단 몇 시간 만에 기업 네트워크를 해킹하고 수 백대 기기에 랜섬웨어를 배포한 것으로 나타났습니다.

2019년 9월 시작된 LockBit은 비교적 새로운 서비스형 랜섬웨어(RaaS)입니다. 

개발자는 지불 사이트와 악성코드 개발을 담당하고, 협력자들은 이 서비스에 가입해 랜섬웨어를 배포합니다.

<LockBit 랜섬노트>

<이미지 출처: https://www.mcafee.com/blogs/other-blogs/mcafee-labs/tales-from-the-trenches-a-lockbit-ransomware-story/>

이 서비스를 통해 LockBit 개발자는 랜섬머니의 약 25~40%를, 배포를 맡은 협력자는 60~75%를 가져갑니다.

단 3시간 만에 기업 네트워크 암호화해

이 사건 대응을 담당한 McAfee Labs와 Northwave는 공동으로 보고서를 발표했습니다.

보고서에는 LockBit 랜섬웨어의 협력사가 고객의 네트워크에 침투하고 서버 25대와 워크스테이션 225대를 암호화했다고 밝혔습니다.

이 모든 작업은 단 3시간 만에 완료되었습니다.

Northwave의 Patrick Van Looy에 따르면, 해커는 오래된 VPN 서비스를 통해 관리자 계정을 브루트포싱 하는 방법으로 네트워크에 대한 접근 권한을 얻을 수 있었습니다.

대부분의 공격자들은 네트워크를 해킹한 후에 관리자 크리덴셜을 얻지만, 이들은 한 단계 앞서 네트워크에 랜섬웨어를 빠르게 배포할 수 있었습니다.

공격자는 VPN에서 브루트포싱 공격을 실행하여 접근 권한을 얻은 후, 거의 즉시 랜섬웨어를 실행했습니다. 

이 작업은 손에 넣은 관리자 계정으로 가능했습니다. 

공격자의 첫 로그인 시각은 오전 1시였으며, 랜섬웨어가 실행된 후 오전 4시경 로그아웃했습니다.

네트워크 내 모든 기기가 암호화된 것은 아니었습니다. 전문가는 랜섬웨어에 충돌을 일으켜 종료되는 버그가 있을 것이라고 밝혔습니다.

하지만 랜섬웨어에 감염된 시스템은 LockBit에 내장된 흥미로운 기능을 통해 매우 신속하게 암호화되었습니다.

자신을 배포하는 LockBit

McAfee의 연구에 따르면, LockBit 랜섬웨어는 네트워크 상의 다른 컴퓨터에 자기 자신을 배포하는 기능을 포함하고 있었습니다.

LockBit은 실행된 후 기기의 파일을 암호화하는 것에 그치지 않고 ARP 요청을 수행해 네트워크 상의 다른 활성화된 호스트를 찾아 SMB를 통해 연결하려 시도합니다.

<SMB를 통해 다른 컴퓨터에 연결>

<이미지 출처: https://www.mcafee.com/blogs/other-blogs/mcafee-labs/tales-from-the-trenches-a-lockbit-ransomware-story/>

랜섬웨어가 SMB를 통해 다른 컴퓨터에 연결했을 경우, 랜섬웨어를 다운로드 및 실행할 원격 PowerShell 명령을 내립니다.

<LockBit 랜섬웨어를 다운로드 및 실행하는 명령>

<이미지 출처: https://www.mcafee.com/blogs/other-blogs/mcafee-labs/tales-from-the-trenches-a-lockbit-ransomware-story/>

네트워크 상의 더 많은 컴퓨터가 감염될수록, 다른 컴퓨터로 배포되는 속도가 더욱 빨라집니다.

이를 통해 공격자는 네트워크를 해킹하고 단 3시간 만에 자동화된 방식으로 225대 컴퓨터를 암호화할 수 있었습니다.

공격이 빨리 진행될수록 탐지될 확률 적어

공격자가 네트워크에 침투한 후, 네트워크를 돌아다니는 기간이 길어질수록 탐지될 확률은 더욱 높아집니다.

보통 숙련되지 않은 해커들이 네트워크 이동을 시도할 경우 더 자주 탐지됩니다.

하지만, 숙련되지 않은 해커들도 자동으로 자신을 배포하는 랜섬웨어를 이용할 경우 공격에 성공할 확률을 높일 수 있습니다.

전문가들은 다른 랜섬웨어와 비교했을 때, 공격자는 네트워크에 짧은 시간 동안만 상주했다고 밝혔습니다.

보통은 랜섬웨어를 배포하기 전 네트워크 내에 수 일 또는 수 주 동안 상주합니다.

이 경우 공격자가 숙련된 전문가일 필요는 없었으며, 랜섬웨어가 자가 확산이 가능해 관리자 접근 권한을 얻은 후에 랜섬웨어를 실행하기만 하면 작업이 완료됩니다.

LockBit은 빠른 속도로 네트워크 내 기기를 암호화하고자 하는 많은 고객을 끌어들여 규모를 확장시킬 수 있을 것으로 예상됩니다.

현재 알약에서는 해당 악성코드 샘플에 대해 'Trojan.Ransom.LockBit, Trojan.Ransom.Filecoder'으로 탐지 중입니다.

출처:

https://www.bleepingcomputer.com/news/security/lockbit-ransomware-self-spreads-to-quickly-encrypt-225-systems/

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/tales-from-the-trenches-a-lockbit-ransomware-story/