LockBit 게시 중단의 교훈

플라톤에 의해 재발행

팔로워 : 0

대부분의 운영자와 마찬가지로 우리도 정말 지난 달 세계 법 집행 기관 중 하나인 LockBit을 방해하는 국제 법 집행에 대한 뉴스를 즐겼습니다. 가장 수익성이 높은 랜섬웨어 갱단.

랜섬웨어는 지난 10년 동안 세계적인 문제가 되었으며, 현대의 랜섬웨어 갱단은 효과적으로 복잡한 사업체로 활동하고 있습니다. 지난 몇 년 동안 여러 정부와 민간 기업이 협력하여 이러한 갱단을 방해했습니다. 참여하는 조정 기관 크로노스 작전 LockBit의 자체 인프라를 사용하여 갱단의 활동에 대한 세부 정보를 게시했습니다. 예를 들어, LockBit의 유출 사이트 여러 국가에서의 체포, 사용 가능한 암호 해독 키, 행위자에 대한 정보 등 게시 중단을 홍보하는 데 사용되었습니다. 이 전술은 LockBit을 난처하게 만드는 데 도움이 될 뿐만 아니라 갱단 계열사와 다른 랜섬웨어 갱단에 대한 효과적인 경고이기도 합니다.

법 집행 기관이 수행한 활동을 요약한 게시 중단 후 LockBit 유출 사이트의 스크린샷. (출처: Aaron Walton.)

LockBit에 대한 이번 활동은 큰 승리를 의미하지만 랜섬웨어는 계속해서 심각한 문제로 남아 있습니다. 심지어 LockBit에서도. 랜섬웨어에 더 잘 맞서기 위해 사이버 보안 커뮤니티는 몇 가지 교훈을 고려해야 합니다.

범죄자를 절대 믿지 마세요

영국 국립범죄수사국(NCA)에 따르면 피해자가 LockBit에 돈을 지불했지만 갱단이 약속한 대로 서버에서 데이터를 삭제하지 않은 사례가 있었습니다.

물론 이것은 드문 일이 아닙니다. 많은 랜섬웨어 조직은 파일 암호 해독 방법을 제공하지 않거나 도난당한 데이터를 삭제하지 않고 계속 저장하는 등 자신들이 약속한 대로 수행하지 않습니다.

이는 몸값 지불의 가장 큰 위험 중 하나를 강조합니다. 피해자는 범죄자가 거래를 끝까지 지켜줄 것이라고 믿고 있습니다. LockBit이 약속한 대로 데이터를 삭제하지 않았다는 사실이 밝혀지면 그룹의 평판이 심각하게 손상됩니다. 랜섬웨어 그룹은 신뢰할 수 있는 것처럼 보이도록 유지해야 합니다. 그렇지 않으면 피해자가 비용을 지불할 이유가 없습니다.

조직에서는 이러한 만일의 사태에 대비하고 계획을 마련하는 것이 중요합니다. 조직에서는 절대로 암호 해독이 가능하다고 가정해서는 안 됩니다. 대신 데이터가 손상될 경우를 대비해 철저한 재해 복구 계획과 절차를 수립하는 것을 우선시해야 합니다.

미국의 FBI, CISA(사이버보안 및 인프라 보안국), 비밀경호국 등 법 집행 기관은 항상 공격자의 전술, 도구, 결제, 통신 방법에 관심을 갖고 있습니다. 이러한 세부 정보는 동일한 공격자 또는 동일한 전술이나 도구를 사용하는 공격자가 표적으로 삼은 다른 피해자를 식별하는 데 도움이 될 수 있습니다. 수집된 통찰력에는 피해자, 금전적 손실, 공격 전술, 도구, 통신 방법, 지불 요구에 대한 정보가 포함되어 있으며, 이는 결국 법 집행 기관이 랜섬웨어 그룹을 더 잘 이해하는 데 도움이 됩니다. 이 정보는 범죄자가 체포되었을 때 기소할 때도 사용됩니다. 법 집행 기관이 사용되는 기술의 패턴을 볼 수 있다면 범죄 조직에 대한 더 완전한 그림이 드러날 것입니다.

RaaS(Ransomware-as-a-Service)의 경우 기관은 두 가지 공격을 사용합니다. 즉, 갱단의 관리 직원과 그 계열사를 모두 방해합니다. 일반적으로 관리 직원은 데이터 유출 사이트 관리를 담당하고 계열사는 랜섬웨어 배포 및 네트워크 암호화를 담당합니다. 행정 직원은 범죄자를 활성화하고, 제거하지 않고도 계속해서 다른 범죄자를 활성화합니다. 관리 직원이 방해를 받으면 계열사는 다른 랜섬웨어 갱단을 위해 일할 것입니다.

계열사는 자신이 구매했거나 불법적으로 액세스한 인프라를 사용합니다. 이 인프라에 대한 정보는 도구, 네트워크 연결 및 동작을 통해 노출됩니다. 랜섬웨어 처리 과정을 통해 관리자에 대한 세부 정보가 노출됩니다. 랜섬머니 처리를 위해 관리자는 랜섬머니 처리를 위해 통신 방법과 결제 방법을 제공합니다.

그 중요성이 조직에 즉각적으로 중요해 보이지 않을 수도 있지만, 법 집행 기관과 연구원은 이러한 세부 정보를 활용하여 배후에 있는 범죄자에 대해 더 많은 정보를 밝힐 수 있습니다. LockBit의 경우 법 집행 기관은 과거 사건의 세부 정보를 사용하여 그룹의 인프라 및 일부 계열사에 대한 중단을 계획할 수 있었습니다. 공격 피해자와 연합 기관의 도움으로 수집된 정보가 없었다면 크로노스 작전은 불가능했을 것입니다.

조직이 도움을 주기 위해 피해자가 될 필요는 없다는 점을 기억하는 것이 중요합니다. 정부는 민간단체와 협력하기를 원한다. 미국의 조직은 중요하고 시의적절한 정보를 공유하기 위해 전 세계적으로 파트너십을 구축하기 위해 JCDC(Joint Cyber Defense Collaborative)를 구성한 CISA와 협력하여 랜섬웨어 퇴치에 동참할 수 있습니다. JCDC는 정부 기관과 공공 기관 간의 양방향 정보 공유를 촉진합니다.

이러한 협력을 통해 CISA와 조직 모두 동향을 파악하고 공격자 인프라를 식별할 수 있습니다. LockBit 게시 중단 사례에서 알 수 있듯이 이러한 유형의 협력과 정보 공유는 가장 강력한 공격자 그룹에 맞서 법 집행 기관에 중요한 기반을 제공할 수 있습니다.

랜섬웨어에 맞서 단결된 전선을 펼치세요

우리는 다른 랜섬웨어 조직이 LockBit에 대한 경고 조치를 취하기를 바랍니다. 하지만 그동안 랜섬웨어의 위협은 끝나지 않았기 때문에 계속해서 우리 자신의 네트워크를 보호 및 모니터링하고, 정보를 공유하고, 협력하는 데 부지런히 노력합시다. 랜섬웨어 조직은 피해자가 자신이 고립되어 있다고 믿을 때 이익을 얻습니다. 그러나 조직과 법 집행 기관이 협력하여 정보를 공유하면 적보다 한 발 앞서 나갈 수 있습니다.