블랙이 블랙을 먹는다: 세계 최대 랜섬웨어 갱단인 록비트 해킹 분석

이번 사건은 강력한 기술력을 갖춘 해커 집단조차도 사이버 공격으로부터 완전히 자유롭지 않다는 사실을 다시 한번 일깨워 주는 사건입니다. 이것이 보안 전문가들이 계속해서 싸우는 이유 중 하나입니다.

저자: 슬로우 미스트 (SlowMist) Technology

배경: LockBit은 어떤 회사인가요?

LockBit은 2019년 9월에 처음 등장한 랜섬웨어 서비스(RaaS) 조직입니다. 초기 버전에서는 파일을 암호화할 때 ".abcd" 접미사가 추가되었기 때문에 한때 "ABCD 랜섬웨어"라고 불렸습니다. 이 그룹은 정교한 기술, 높은 수준의 자동화, 높은 강탈 효율성으로 유명합니다. 이 조직은 전 세계의 기업, 정부, 교육 기관, 의료 기관을 대상으로 대량 공격을 감행했으며, 여러 국가 안보 기관에서 APT(고급 지속 위협) 조직으로 지정되었습니다. 우리는 작년에 이 조직을 공개했습니다 .

LockBit의 기술은 계속해서 여러 버전을 반복하고 개발하고 있습니다.

• LockBit 1.0(2019): ".abcd" 암호화 접미사를 사용하고, Windows 플랫폼을 지원하며, RSA + AES 알고리즘 암호화를 사용하고 , 실행 속도가 빠릅니다.
• LockBit 2.0(2021): 랜섬웨어 효율성을 개선하기 위해 자동 전파 기능을 도입합니다.
• LockBit 3.0 / LockBit Black(2022): 모듈 디자인, 강력한 분석 방지 기능, 랜섬웨어 테스트를 위해 외부 보안 연구원에게 보상을 제공하는 최초의 버그 현상금 프로그램;
• LockBit Green(2023년 버전이라는 소문): 해체된 Conti 랜섬웨어 갱단의 일부 코드를 통합한 것으로 의심됩니다.

LockBit은 RaaS 모델의 전형적인 예로, 핵심 개발자를 통해 랜섬웨어 툴킷을 제공하여 특정 공격, 침투 및 배포를 담당할 "제휴사"를 유치하고, 몸값을 공유하여 협력을 유도하는데, 공격자는 일반적으로 몸값의 70%를 받습니다. 게다가 이들의 "이중 협박" 전략도 극도로 억압적이다. 한편으로는 파일을 암호화하고, 다른 한편으로는 데이터를 훔쳐 공개하겠다고 위협한다. 피해자가 몸값 지불을 거부하면 해당 데이터는 해당 회사의 독점 유출 사이트에 게시됩니다.

기술적인 측면에서 LockBit은 Windows 및 Linux 시스템을 지원하고, 다중 스레드 암호화 기술과 AES-NI 명령어 세트를 사용하여 고성능 암호화를 구현하고, 인트라넷 내에서 수평적으로 이동할 수 있는 기능(예: PSExec, RDP 블라스팅 등 사용)을 갖추고 있으며, 암호화하기 전에 사전에 데이터베이스를 닫고, 백업 및 기타 주요 서비스를 삭제합니다.

LockBit의 공격은 일반적으로 매우 체계적이며 전형적인 APT 특성을 가지고 있습니다. 전체 공격 체인은 다음과 같습니다.

• 초기 접근(피싱 이메일, 취약점 악용, 취약한 RDP 비밀번호)
• 측면 이동(미미카츠, 코발트 스트라이크 등)
• 권한 상승
• 데이터 도난
• 파일 암호화
• 몸값 요구 메시지가 뜨네요
• 유출 사이트에 정보 게시(결제가 이루어지지 않을 경우)
  

LockBit는 활동 기간 동안 많은 화제를 불러일으켰습니다.

• 2022년 이탈리아 세무 기관을 공격하여 수백만 명의 납세자 데이터가 피해를 입었습니다.
• 캐나다의 SickKids 병원을 해킹했다고 주장했으나, 나중에 사과하고 복호화 도구를 제공했다.
• 여러 제조업체(예: 방위 및 의료 장비 회사)가 LockBit에 의해 암호화되었습니다.
• 2022년 2분기에는 전 세계 랜섬웨어 공격의 40% 이상을 차지했습니다.
• 누적된 영향력은 1,000개 기업을 넘어섰으며, 콘티와 레빌 등의 기존 갱단을 훨씬 능가했습니다.
• 몸값 요구 성공률은 매우 높아서 2022년에 요구한 1억 달러의 몸값 중 절반 이상이 성공적으로 징수되었습니다.

하지만 LockBit과 같은 강력한 도구라도 무적은 아닙니다. 2024년 2월 19일, LockBit 웹사이트는 영국 국가범죄수사국, 미국 연방수사국, 유로폴, 국제경찰기관연합의 합동 법집행 작전을 통해 압수되었습니다. LockBit 멤버 중 몇몇이 체포되거나 수배되었지만 핵심 개발팀은 아직 완전히 해체되지 않았습니다. 일부 샘플은 여전히 ​​다크웹에서 유포되고 있으며, 여전히 지사 그룹에서 사용되고 있습니다.

속보: LockBit 사이트 해킹

오늘 슬로우 미스트 (SlowMist) LockBit의 onion 사이트가 해킹당했다는 정보를 입수했습니다. 공격자는 제어판을 장악했을 뿐만 아니라, 데이터베이스가 포함된 패키지 파일도 공개했습니다. 이러한 움직임으로 인해 LockBit의 데이터베이스가 유출되었는데, 여기에는 비트코인 ​​주소, 개인 키, 채팅 기록 및 계열사 등 민감한 정보가 포함되어 있었습니다.

더욱 극적인 것은 해커가 훼손된 사이트에 의미심장한 메시지를 남겼다는 것이다. "범죄를 저지르지 마십시오. 범죄는 나쁘다. 프라하에서."

얼마 지나지 않아 관련 데이터가 GitHub 등의 플랫폼에 업로드되어 빠르게 퍼졌습니다.

LockBit 관계자는 이후 러시아어로 채널을 통해 답변을 보냈는데, 대략 다음과 같은 내용이었습니다.

레이: 록빗이 해킹당했어요? 진전이 있나요?

LockBitSupp: 승인 코드가 있는 가벼운 제어판만 손상되었고, 복호화 도구는 도난당하지 않았으며 회사 데이터도 손상되지 않았습니다.

레이: 그렇죠. 하지만 이는 비트코인 ​​주소, 대화 내용, 키 등이 유출된다는 뜻이죠... 이는 평판에도 영향을 미칠까요?

레이: 로커 빌더나 소스 코드가 도난당했나요?

레이: 온라인으로 다시 일할 건가요? 그렇다면 얼마나 걸릴까요?

LockBitSupp: 비트코인 ​​주소와 대화 내용만 도난당했고, 복호화 도구는 도난당하지 않았습니다. 네, 평판에는 영향을 미치지만, 수정 후 다시 시작하는 경우에도 마찬가지입니다. 소스 코드는 도난당하지 않았습니다. 우리는 이미 복원 작업을 진행하고 있습니다.

레이: 좋아, 여러분 모두 행운을 빌어요. 답변해 주셔서 감사합니다.

누출 분석

슬로우 미스트 (SlowMist) 유출된 관련 파일을 가능한 한 빨리 다운로드했습니다(내부 조사 목적으로만 사용되었으며, 백업은 시간 내에 삭제되었습니다). 우리는 LockBit의 내부 운영 플랫폼과 그 기능적 구성 요소의 아키텍처를 복원하기 위해 디렉토리 구조, 코드 파일, 데이터베이스 내용에 대한 예비 분석을 수행했습니다.

디렉토리 구조를 보면, 가벼운 PHP 프레임워크로 작성된 LockBit 피해자 관리 플랫폼처럼 보입니다.

디렉토리 구조 분석:

• api/, ajax/, services/, models/, workers/는 프로젝트에 일정 수준의 모듈 있지만 Laravel(예: app/Http/Controllers)과 같은 프레임 에서 합의된 구조를 따르지 않는다는 것을 보여줍니다.
• DB.php, prodDB.php, autoload.php, functions.php는 데이터베이스와 함수 부트스트랩이 수동으로 관리됨을 나타냅니다.
• vendor/ + composer.json은 Composer를 사용하는데, 이는 타사 라이브러리를 도입할 수 있지만 전체 프레임 직접 작성할 수 있다는 것을 의미합니다.
• (특히 보안 연구에서) victim/, notifications-host/ 등의 폴더 이름은 의심스럽습니다.

따라서 우리는 "프라하"의 해커가 PHP 0-day 또는 1-day를 사용하여 웹사이트와 콘솔을 해킹했을 것으로 추측합니다.

관리 콘솔은 다음과 같습니다.

일부 채팅 커뮤니케이션 정보:

빨간색으로 동그라미 친 정보를 살펴보겠습니다. 피해자의 CEO는 코인베이스? 몸값을 지불하세요?

동시에 유출된 데이터베이스에는 약 60,000개의 BTC 주소도 포함되어 있습니다.

유출된 데이터베이스에는 75개의 사용자 계정과 비밀번호가 포함되어 있습니다.

재미있는 할인 정보:

결제가 성공적으로 이루어진 주문을 무작위로 찾습니다.

주문 주소:

MistTrack을 사용하여 비트코인 ​​지불 주소를 추적하세요.

자금세탁 자금의 흐름은 비교적 명확하며 결국 거래 플랫폼으로 흘러들어갑니다. 공간 제약으로 인해 MistTrack은 앞으로 암호화폐 주소에 대한 추가 분석을 수행할 예정입니다. 관심이 있으시면 X: @MistTrack_io를 팔로우하세요.

현재 LockBit 관계자는 이 사건에 대한 최신 성명을 발표했습니다. 대략적인 번역은 다음과 같습니다.

2025년 5월 7일, 자동 등록 기능을 갖춘 저희 경량 제어판 중 하나가 침해되어 누구든 권한을 우회하여 해당 패널에 직접 접근할 수 있었습니다. 데이터베이스는 유출되었지만, 피해 기업의 복호화 도구나 중요 데이터는 유출되지 않았습니다. 현재 구체적인 침입 방식을 조사하고 복구 작업을 진행하고 있습니다. 메인 제어판과 블로그는 현재 정상적으로 작동하고 있습니다.

"공격자는 프라하 출신의 'xoxo'라는 남자로 추정됩니다. 그의 신원에 대한 신뢰할 만한 정보를 제공해 주시면 제가 비용을 지불하겠습니다."

LockBit의 대응은 아이러니합니다. 이전에 미국 국무부는 LockBit 갱단의 핵심 구성원이나 주요 협력자의 신원과 위치 정보를 얻는 사람에게 최대 1,000만 달러의 현상금을 주겠다는 포상 공고를 냈습니다. 동시에 계열사의 공격행위에 대한 공개를 독려하기 위해 최대 500만 달러의 포상금을 제공했습니다.

LockBit이 해킹당한 후, 공격자에 대한 단서를 찾기 위해 채널에 현상금을 걸었습니다. 마치 "현상금 사냥꾼 메커니즘"이 스스로 역효과를 낸 것처럼 말입니다. 이는 우스꽝스럽고 내부 보안 시스템의 허점과 혼란을 더욱 드러냅니다.

요약하다

LockBit은 2019년부터 활동을 시작했으며, 세계에서 가장 위험한 랜섬웨어 갱단 중 하나로, 누적 몸값 추산치(공개되지 않은 데이터 포함)가 최소 1억 5천만 달러에 달합니다. RaaS(Ransomware as a Service) 모델은 대량 프랜차이즈가 공격에 참여하도록 유도합니다. 이 갱단은 2024년 초 "크로노스 작전"으로 법 집행 기관의 공격을 받았지만 여전히 활동하고 있습니다. 이 사건은 LockBit의 내부 시스템 보안에 대한 중대한 문제로, 이로 인해 LockBit의 평판, 가맹점 신뢰 및 운영 안정성이 영향을 받을 수 있습니다. 동시에 사이버 공간의 사이버 범죄 조직을 대상으로 한 '역공격'의 추세도 나타나고 있습니다.

슬로우 미스트 (SlowMist) 보안팀은 모든 당사자에게 다음을 권장합니다.

• 지속적인 정보 모니터링: LockBit의 재구성 역학과 잠재적인 변형 버전을 면밀히 추적합니다.
• 다크웹의 동향에 주의하세요: 관련 포럼, 사이트 및 정보 소스를 실시간으로 모니터링하여 2차 유출 및 데이터 남용을 방지하세요.
• RaaS 위협 방어 강화: 노출 표면을 정리하고 RaaS 툴 체인의 식별 및 차단 메커니즘을 강화합니다.
• 개선된 조직 대응 메커니즘: 자체 조직과 직간접적인 연관성이 발견될 경우, 즉시 담당 기관에 통보하고 비상 계획을 활성화하는 것이 좋습니다.
• 자금 추적 및 사기 방지 연계: 의심스러운 지불 경로가 플랫폼으로 유입되는 경우, 온체인 모니터링 시스템과 연계하여 자금세탁 방지 조치를 강화해야 합니다.

이번 사건은 강력한 기술력을 갖춘 해커 집단조차도 사이버 공격으로부터 완전히 자유롭지 않다는 사실을 다시 한번 일깨워 주는 사건입니다. 이것이 보안 전문가들이 계속해서 싸우는 이유 중 하나입니다.

면책 조항: 블록체인 정보 플랫폼으로서, 이 사이트에 게시된 기사는 저자와 게스트 관점 만을 나타내며 Web3Caff의 입장과 아무런 관련이 없습니다. 본 기사에 실린 정보는 참고용일 뿐이며 어떠한 투자 조언이나 제안을 구성하지 않습니다. 귀하의 국가 또는 지역의 관련 법률 및 규정을 준수하시기 바랍니다.