2021-09-23 06:20 (목)
악명높은 LockBit 2.0 랜섬웨어…더욱 강화된 위협 기능들 추가
상태바
악명높은 LockBit 2.0 랜섬웨어…더욱 강화된 위협 기능들 추가
  • 길민권 기자
  • 승인 2021.07.28 15:42
이 기사를 공유합니다

액티브 디렉토리 그룹 정책을 사용해 윈도우 도메인 암호화를 자동화하는 새로운 버전의 LockBit 2.0 랜섬웨어가 발견되었다.

LockBit 랜섬웨어는 2019년 9월 서비스형 랜섬웨어로 시작되었으며, 네트워크를 침해하고 장치를 암호화하기 위해 위협 행위자를 모집했다.

모집된 제휴사는 몸값의 70-80%를 벌고 나머지는 LockBit 개발자에게 입금하는 형식으로 운영됐다.

한편 LockBit의 새 버전에는 수많은 고급 기능이 포함되어 있으며 그 중 두 가지 특징이 있다.

LockBit 2.0은 과거에 다른 랜섬웨어 작업에서 많이 사용된 기능을 포함하고 있다.

더불어 스크립트 없이도 윈도우 도메인 전체에 걸쳐 랜섬웨어 배포를 자동화했다.

위협 행위자가 네트워크에 침입해 최종적으로 도메인 컨트롤러를 제어할 수 있게 되면 타사 소프트웨어를 사용해 바이러스 백신을 비활성화하는 스크립트를 배포한 다음 네트워크의 시스템에서 랜섬웨어를 실행한다.

LockBit 2.0 랜섬웨어 샘플에서 위협 행위자는 이 프로세스를 자동화해 랜섬웨어가 도메인 컨트롤러에서 실행될 때 도메인 전체에 배포되도록 했다.

랜섬웨어가 실행되면 마이크로소프트 디펜더의 실시간 보호, 경고, 마이크로소프트에 샘플 제출, 악성 파일 감지 시 기본 동작을 비활성화하는 새로운 그룹 정책 업데이트가 생성된다.

그런 다음 랜섬웨어는 다음 명령을 실행하여 윈도우 도메인의 모든 시스템에 그룹 정책 업데이트를 푸시할 수 있다.

이 과정에서 랜섬웨어가 Windows Active Directory API를 사용해 도메인 컨트롤러의 ADS에 대해 LDAP 쿼리를 수행해 컴퓨터 목록을 가져온다.

이 목록을 사용해 랜섬웨어 실행 파일이 각 장치의 바탕 화면에 복사되고 아래 UAC 바이패스를 사용해 랜섬웨어를 실행하는 예약된 작업이 생성된다.

랜섬웨어는 UAC 바이패스를 사용해 실행되므로 프로그램은 백그라운드에서 자동으로 실행된다.

암호화되는 장치에 대한 외부 경고 없이. MountLocker는 이전에 Windows Active Directory API를 사용해 LDAP 쿼리를 수행했지만 랜섬웨어가 그룹 정책을 통해 맬웨어 배포를 자동화하는 것은 처음이다.

이 멀웨어는 로컬 도메인에 랜섬웨어를 전파하는 Active Directory와 상호 작용하는 새로운 접근 방식을 추가했을 뿐만 아니라 안티바이러스 비활성화를 통해 내장된 업데이트 글로벌 정책을 추가해 새로운 멀웨어 운영자가 펜테스터 작업을 더 쉽게 수행할 수 있도록 했다.

또 LockBit 2.0에는 이전에 Egregor Ransomware 작업에서 사용되었던 기능도 포함되어 있어 네트워크에 연결된 모든 프린터에 폭탄 랜섬 노트를 인쇄시킨다.

랜섬웨어가 장치 암호화를 완료하면 피해자의 주의를 끌기 위해 연결된 모든 네트워크 프린터에 랜섬 노트를 반복해서 인쇄하는 것이다.

대형 소매업체인 센코수드에 대한 Egregor 랜섬웨어 공격에서 이 기능으로 인해 공격을 수행한 후 영수증 프린터에서 랜섬노트가 인쇄돼 나온 사례가 있다.

★정보보안 대표 미디어 데일리시큐!★