LockBit Black으로도 알려진 LockBit 3.0 RaaS(Ransomware-as-a-Service) 모델에서 작동하는 랜섬웨어 제품군으로, 공격자는 랜섬웨어를 만들어 배포할 리소스가 없을 수 있는 제휴업체와 협력합니다. LockBit 랜섬웨어 제품군은 2022 7월 서비스를 발표하고 LockBit 로고를 몸에 새긴 사람에게 버그 현상금 프로그램과 돈까지 제공하는 등 대중적 존재로 유명합니다. 대중의 관심에도 불구하고 LockBit은 여전히 가장 널리 퍼진 랜섬웨어 변종 중 하나이며, 2022 9월 랜섬웨어 빌더가 유출되어 GitHub에서도 다운로드할 수 있게 되었습니다.

 

감염주기 :

 

LockBit 랜섬웨어에 감염되면 시스템의 파일이 암호화됩니다. 각각의 암호화된 파일에는 " .NegNiNNop "  라는 파일 확장자가 표시되며, 파일명도 변경됩니다 (eg:4sk2dwe.NegNiNoP).

 

파일 암호화 후 바탕화면 배경화면에 아래와 같은 메세지가 표시됩니다.

 

 

시스템에 다음 파일이 추가됩니다.

 

  • C:\ProgramData\NegNiNNoP.bmp
  • C:\ProgramData\NegNiNNoP.ico
  • C:\Users\NegNiNNoP.README.txt
  • C:\Users\All Users\NegNiNNoP.bmp
  • C:\Users\All Users\NegNiNNoP.ico
  • C:\Users\{user}\NegNiNNoP.README.txt

 

다음 레지스트리 키가 추가되었습니다.

 

  • HKEY_CLASSES_ROOT\NegNiNNoP\DefaultIcon @ “C:\ProgramData\NegNiNNoP.ico”

NegNiNoP.ico에는 다음 이미지가 포함되어 있습니다.

 

 

NegNiNNop.README.txt 라는 파일이 데스크톱과 파일이 암호화된 모든 폴더에 기록되며, 이 메시지에는 다음 메시지가 포함되어 있습니다.

 

 

메시지에는 tOr 주소가 제공되며 피해자를 다음 페이지로 안내합니다.

 

 

 

운영자들은 자신들의 일에 자부심을 가지고 사이트에 피해자 목록을 표시합니다. 이 목록에는 전 세계의 다양한 조직이 포함되어 있습니다.

 

 

데이터 검색에 대한 지불을 요구하는 것 외에도, 공격자는 몸값을 제때 지불하지 않으면 기밀 데이터를 공개하겠다고 협박하기도 합니다. 이 이중 갈취 방법은 피해자가 몸값을 지불하도록 강요하기 위해 피해자에게 추가적인 압력을 가합니다. 유출된 기밀 데이터는 모든 사람이 볼 수 있도록 사이트에서 공개적으로 사용할 수 있습니다.

 

 

피해자 페이지에는 "지원" 채팅 상자가 표시되며, 이를 통해 공격자와 직접 통신할 수 있습니다. 랜섬웨어 운영자는 일반적으로 피해자와 협상하고 추가 압력을 가하기 위해 이것을 사용합니다.

 

900만 달러의 복호화 요금을 공개하는 오퍼레이터와 다음과 같은 대화가 확인되었습니다.

 

 

링크를 통해 다음 페이지로 이동했지만, 참조된 파일은 피해자의 파일에서 가져온 것이 아닙니다.

 

 

이것은 결국 버그인 것으로 확인되었습니다.

 

 

이러한 사례를 통해 랜섬웨어에 감염되었지만 실제로 데이터가 유출되지 않은 경우가 확인되었습니다. 랜섬웨어 감염 방지를 위해 사용자는 발신인이 부정확한 메일 확인 및 프로그램 불법 다운로드를 지양하고의심스러운 첨부파일은 바로 삭제하여 데이터를 보호해야 합니다.

 

 

 

 

 

 

 

 

Posted by 로버무트
,