S2W 위협 인텔리전스센터 탈론에서 위협 그룹 프로파일링 보고서를 공개합니다.
해당 보고서는 사건의 행위자 Lockbit 랜섬웨어 위협 그룹에 대한 프로파일을 확인할 수 있는 난이도 높은 위협 인텔리전스 보고서입니다.
✅ 보고서 제목:
위협 그룹 프로파일링: LockBit
✅ 보고서 요약:
2019년 9월부터 ABCD 랜섬웨어라는 이름으로 독자적인 활동을 시작했으며, 2019년 12월말에 .lockbit 확장자를 사용하면서 Lockbit으로 브랜딩 하였습니다.
- LockBit 1.0: 2019.09 ~ 2021.06
- LockBit 2.0: 2021.06 ~ 2022.06
- LockBit 3.0: 2022.06 ~ 2024.12
- LockBit 4.0: 2024.12 ~
LockBit 은 Affiliate 들을 위해 RaaS 를 운영하며 랜섬웨어를 지급하였으며, 자체 제작한 Stealer도 함께 Affiliate 패널에서 제공합니다.
- Ransomware: LockBit Red, LockBit Black, LockBit Green, LockBit Linux
- Stealer: StealBit
LockBit 랜섬웨어가 유포될 때 사용된 초기 침투 방법으로는 Phishing, Vulnerability, Watering Hole, External Remote Service 가 존재합니다.
- Phishing: 국내 저작권 및 이력서 위장 피싱 메일을 통해 LockBit 랜섬웨어 유포
- Vulnerability: 알려진 다수 1-day 취약점을 악용하여 패치되지 않은 서비스에 최초 침투 시도
- Watering Hole: 정상 사이트에 악성 스크립트인 SocGholish 를 심어 추가 페이로드 다운 유도
- External Remote Service: 취약한 RDP, VPN에 브루트 포싱 기법을 사용하거나, IAB(Initial Access Broker) 에게 구매한 자격 증명을 통해 최초 침투 시도
LockBit 은 2019년도부터 활동해온 그룹인 만큼, 여러 그룹과의 연관성이 밝혀졌습니다.
- Ransomware: BlackMatter, BlackCat, Conti
- Affiliate: Ghost Group, National Hazard Agency, DEV-0401, Evil Corp
📌 2022년 Lockbit 3.0부터 최근 Lockbit 4.0 업데이트 사이의 이슈는 무엇이 있나요?
(2024-12-19) Lockbit 4.0으로 업데이트
(2024-10-02) Operation CRONOS: LockBit과 관련된 개발자, 자금 세탁, 인프라 담당자 등을 체포하였으며, Evil Corp의 일원 18명의 신원을 전부 공개
(2024-07-19) LockBit이 Telegram 등 새로운 채널의 연락처를 Leak 사이트를 통해 공유
(2024-05-07) LockBitSupp의 신원 및 Affiliate의 surname 등을 공개
(2024-05-05) LockBit의 Leak 사이트 중 하나의 도메인이 또 다시 압수
(2024-02-22) Sophos에서 ScreenConnect 취약점을 악용한 사례 공개
(2024-02-19) Operation CRONOS: 11개국의 법 집행 기관이 협력하여 LockBit 랜섬웨어 권고문 공개
(2023-11-21) CISA에서 Boeing 공격에 사용된 Citrix Bleed 취약점을 사용하는 LockBit 랜섬웨어 권고문 공개
(2023-04-16) MalwareHunterTeam이 MacOS 버전의 LockBit 랜섬웨어 발견
(2023-01-27) VX-Underground가 Conti 기반의 LockBit Green 랜섬웨어 발견
(2022-06-26) LockBit 3.0으로 업데이트
그 외 타임라인별 이슈와 LockBit의 공격 기법에 대한 상세 내용은 보고서 전문을 통해 확인하실 수 있습니다.
✅ 위협 탐지 권장 사항 및 조치 방안:
2019년 9월부터 활동해온 LockBit 그룹은, 2020년도에 정식으로 LockBit이라고 브랜딩하여 활동을 시작했습니다. 이후 유출된 LockBit Black 빌더를 악용하여 여러 랜섬웨어 그룹들이 탄생하였고, 이로 인해 LockBit의 실제 Affiliate와 유출된 빌더를 사용하는 Script Kiddie를 구분하기가 어려워졌습니다. (유출된 빌더로 제작된 랜섬웨어를 구분할 수 있는 도구의 필요성이 대두됨)
LockBit Black과 LockBit Green처럼 다른 랜섬웨어 소스코드를 인용하여 자체 랜섬웨어를 생산하고 있다는 점에서, 이후 타 랜섬웨어 그룹의 소스코드를 인용하여 추가 랜섬웨어를 제작할 가능성이 높다고 판단됩니다.
각 사례에 대한 구체적인 분석 및 조치 방안은 내용은 아래 링크를 통해 보고서 전문을 문의해 주세요.
🧑💻 보고서 작성자: S2W TALON (2025-01-31 기준)
👉 보고서 전문 문의하기: https://s2w.inc/ko/contact
*해당 보고서는 별도 문의 가능하며 S2W의 플랫폼 구독 시 전문으로 제공됩니다.