보안동향

최신 보안정보를 신속하게 전해드립니다.

[해외동향] Bl00dy 랜섬웨어 갱단, 유출된 LockBit 3.0 빌더를 공격에 사용

2022-09-29

Bl00Dy 랜섬웨어 갱단은 최근 유출 된 LockBit 3.0 랜섬웨어 빌더를 실제 공격에 사용하기 시작했습니다.

 

지난 주, LockBit 내부 개발자가 불만을 품고 LockBit 3.0 랜섬웨어 빌더를 트위터에 유출하였습니다. 유출된 빌더를 사용하면 누구나 실제 공격에 사용할 수 있는 온전한 랜섬웨어와 암호 해독기를 빌드할 수 있습니다.

 

유출된 빌더에는 랜섬웨어 구성 정보를 설정할 수 있는 사용자 정의 구성 파일이 포함되어 있으므로 이를 토대로 다양한 위협 행위자들은 쉽게 자체 랜섬웨어를 만들 수 있습니다. 이에 따라, BleepingComputer는 다른 위협 행위자가 곧 유출된 빌더를 사용하여 자체 랜섬웨어를 만들 것이라고 예측했습니다.

[그림 1] LockBit 3.0 랜섬웨어 빌더 구성 파일 (BleepingComputer)

 

불행히도 그러한 예측은 맞아떨어졌으며, 'Bl00Dy 랜섬웨어 갱단'이라는 비교적 새로운 랜섬웨어 그룹이 이미 우크라이나 기업에 대한 공격에 유출된 빌더를 활용했습니다.

 

 

Bl00dy 랜섬웨어 갱단

DataBreaches.net에 의해 보도된 바와 같이, Bl00Dy 랜섬웨어 갱단은 2022년 5월경부터 운영을 시작했습니다. 당시 갱단은 뉴욕의 의료 및 치과 관련 그룹을 목표로 삼았습니다.

여타 랜섬웨어 그룹과 마찬가지로, Bl00dy 랜섬웨어는 대상 시스템의 네트워크를 침해하고 주요 데이터를 훔치며 암호화를 수행합니다. 훔친 데이터를 게시하기 위해 별도로 Tor 데이터 유출 사이트를 운영하지는 않으며, 대신 텔레그램 채널을 사용합니다.

 

Bl00dy 랜섬웨어 갱단은 '랜섬웨어'조직이기는 하지만, 랜섬웨어를 독립적으로 개발하지는 않는 것으로 보입니다. 유출 된 빌더와 Babuk [VirusTotal] 및 Conti [VirusTotal]와 같은 다른 랜섬웨어 조직의 유출된 소스 코드를 활용합니다.

 

사이버 보안 연구원 블라디슬라프 라데츠키는 우크라이나 기업에 대한 공격에 사용된 새로운 Bl00Dy 랜섬웨어의 암호화기에 대한 보고서를 발표했습니다.

 

Bl00Dy 랜섬웨어가 Conti 혹은 LockBit에 기반한 랜섬웨어라는 것이 명백한 것은 아니지만, 이전에 유출되었던 Conti 소스 코드를 통해 빌드된 암호화기에서 발견되었던 'filedecryptionsupport@msgsafe.io' 이메일이 Bl00Dy 랜섬웨어에서 동일하게 발견되었습니다.

또한, MalwareHunterTeam의 연구원은 Bl00Dy 랜섬웨어가 최근에 유출된 LockBit 3.0 빌더를 사용하여 빌드되었음을 확인했습니다. 이 외에도 Bl00dy와 LockBit 3.0 사이에 코드 유사점이 다수 발견되었습니다.

 

BleepingComputer는 Bl00dy 랜섬웨어를 테스트했으며, 새로운 버전과 이전 버전 간의 차이점을 발견했습니다.

과거 캠페인에서 Bl00Dy 랜섬웨어는 암호화된 파일에 대해 .bl00dy 확장자를 추가했습니다. 그러나 LockBit 3.0 빌더에서는 추가되는 확장자가 사용자 정의 가능한 옵션이 아니므로 암호화기가 빌드될 때 결정되는 확장자가 추가됩니다.

[그림 2] Bl00dy 랜섬웨어에 의해 암호화된 파일 (BleepingComputer)

 

랜섬노트의 경우, 파일 이름은 여전히 LockBit-style로 생성되지만, 아래와 같이 자신의 텍스트 및 연락처 정보를 포함하도록 커스텀되었습니다.

[그림 3] Bl00dy 랜섬웨어 갱단의 랜섬노트 (BleepingComputer)

 

그러나 궁극적으로 이것은 LockBit 3.0 랜섬웨어의 빌더에 의해 생성된 것이므로 이전에 보안 연구원들이 보고한 특징과 기능들은 여전히 유효합니다.

 

Bl00dy 랜섬웨어 갱단이 필요에 따라 랜섬웨어 제품군을 전환하여 탐지를 회피하거나 다양한 기능을 활용한다는 것은 놀라운 일이 아닙니다.

 

LockBit 랜섬웨어 운영은 2019년 9월에 시작되었으며, 이후 현재 가장 활발한 랜섬웨어 조직 중 하나로 성장했습니다.

 

LockBit 3.0은 2022년 6월에 새로운 강탈 전술을 구상하였으며, BlackMatter의 코드를 사용하여 암호화기도 새롭게 디자인하였습니다. 또한 랜섬웨어 조직으로써는 최초로 랜섬웨어 버그바운티 프로그램을 운영하기도 하였습니다.

 

유출 된 LockBit 3.0 랜섬웨어 빌더는 다른 위협 행위자가 쉽게 커스텀하여 재사용할 수 있으므로 Bl00dy 갱단뿐 아니라 다른 위협 행위자에 의해서도 악용될 여지가 남아 있습니다.



출처

https://www.bleepingcomputer.com/news/security/leaked-lockbit-30-builder-used-by-bl00dy-ransomware-gang-in-attacks/



보안관제센터 MIR Team

목록