미국 및 영국 당국, LockBit 랜섬웨어 그룹 리더에 대한 기소장 확인, 제재 및 봉인 해제

오늘 미국과 영국은 러시아 국적자이자 러시아에 기반을 둔 록빗 그룹의 리더인 드미트리 유리예비치 코로셰프를 록빗 랜섬웨어 개발 및 유포에 관여한 혐의로 지정했습니다.

이번 지정은 미국 재무부, 미국 국무부, 미국 Department of Justice, Federal Bureau of Investigation, 영국 국가범죄청, 호주 연방경찰 및 기타 국제 파트너 간의 협력과 협업의 결과입니다. 

동시에 Department of Justice 기소장을 공개 했고, 국무부는 코로셰프의 체포 및 유죄 판결로 이어지는 정보에 대한 포상금 지급을 발표했습니다.

이번 지정은 랜섬웨어 관련된 러시아 사이버 범죄자들에 대한 미국 정부의 최근 조치에 따른 것으로, 여기에는 록빗 랜섬웨어 인프라 중단과 록빗 그룹 계열사에 대한 제재 등이 포함됩니다. 

LockBit은 세계에서 가장 많은 랜섬웨어 그룹 중 하나입니다. 이 그룹은 랜섬웨어(RaaS) 모델을 사용하여 수천 건의 공격을 수행하고 피해자에게 가상자산 거액의 몸값을 갈취하는 등 전 세계 기업과 주요 인프라에 전례 없는 영향을 미쳤습니다 가상자산 TRM은 온체인 분석을 통해 2022년 이후 락빗 관리자와 계열사가 관리하는 주소가 1억 6천만 파운드(또는 2억 달러) 이상의 비트코인을 받았으며, 이 중 8천 5백만 파운드(또는 1억 1천만 달러) 이상이 여전히 여러 온체인 주소에서 사용되지 않은 것으로 추정하고 있습니다.

OFAC(해외재산관리국) 코로셰프와 관련된 가상자산 주소를 제재 목록에 추가합니다.

미국 재무부 해외자산통제실은 오늘 코로셰프를 지정하는 것 외에도 코로셰프와 관련된 가상자산 주소인 XBT bc1qvhnfknw852ephxyc5hm4q520zmvf9maphetc9z도 제재 목록에 추가했습니다.

에 따르면 TRM Labs에 따르면 OFAC(해외재산관리국) 의 제재를 받은 주소는 코로셰프와 연결된 수백 개의 다른 주소와 연결되어 있습니다. 코로셰프는 필링 체인을 통해 자금을 이동하여 여러 글로벌 거래소에 여러 차례 입금했습니다.

‍

‍

LockBit 리더이자 개발자로서의 코로셰프의 역할

오늘 지정에 따르면, 코로셰프는 대중에게 잘 알려진 LockBit 관련 사이버 범죄 조직인 "LockBitSupp"의 주요 운영자입니다. 록빗 그룹의 핵심 리더이자 록빗 랜섬웨어 개발자인 코로셰프는 사이버 범죄 그룹의 다양한 운영 및 관리 역할을 수행했으며 록빗 랜섬웨어 공격을 통해 금전적 이득을 취했습니다. 또한 코로셰프는 록빗 인프라 업그레이드를 촉진하고, 랜섬웨어 위한 새로운 개발자를 모집하고, 록빗 계열사를 관리했습니다. 그는 또한 올해 초 미국과 그 동맹국들에 의해 중단된 이후에도 운영을 계속하기 위한 LockBit의 노력을 책임지고 있습니다.

LockBit의 경제적 영향 

2020년 1월부터 세계에서 가장 많이 배포된 랜섬웨어 변종인 락빗은 금융 서비스, 식품 및 농업, 교육, 에너지, 정부 및 응급 서비스, 의료, 제조, 운송 등 다양한 중요 인프라 부문에 걸쳐 다양한 규모의 조직을 표적으로 삼고 있으며, 계열사들은 금융 서비스, 식품 및 농업, 교육, 에너지, 정부 및 응급 서비스, 의료, 제조, 운송을 포함한 다양한 분야의 조직을 공격하고 있습니다. 록빗의 주목할 만한 공격 사례로는 엔트러스트(2022년 6월), 이탈리아 국세청(2022년 7월), 로열 메일(2023년 1월), IBM(2023년 5월), 카티지 지역 병원 및 클레이튼-헵번 의료 센터(2023년 9월), 보잉(2023년 11월) 등이 있습니다.

이러한 공격으로 인한 경제적 비용은 초기 몸값 지불을 넘어 운영 중단으로 인한 손실과 평판 손상까지 포함됩니다. IBM의 데이터 유출 비용 보고서 2023에 따르면 랜섬웨어 공격으로 인한 데이터 유출의 평균 비용은 몸값을 제외하고 445만 달러로 추산됩니다. 락빗은 2,000건 이상의 공격이 확인되었으며, 이로 인한 경제적 영향은 80억 달러가 넘을 것으로 추정됩니다. 

잠금 비트가 ABCD에서 잠금 비트 그린으로 진화했습니다.

2019년에 ABCD 랜섬웨어 진화된 버전으로 등장한 LockBit. 그 버전은 수년에 걸쳐 LockBit에서 LockBit Red라고도 알려진 LockBit 2.0, LockBit Black이라고도 알려진 LockBit 3.0, Conti 랜섬웨어 소스 코드를 통합한 LockBit Green으로 발전해 왔습니다 랜섬웨어 이 가장 최신 변종은 버그 바운티 프로그램, 개인 정보 보호 기능이 강화된 암호화폐(예: 지캐시), 새로운 갈취 방법을 특징으로 하며, 블랙매터 및 다크사이드 랜섬웨어 전략을 통합하고 있습니다. 탐지 방지 기술과 암호 없는 실행 기능을 갖춘 이 버전은 서비스 거부 공격도 도입하여 피해자를 갈취하는 LockBit의 능력과 전술을 확장했습니다.

제휴 인센티브를 통해 영향력을 확장한 락비트 

RaaS 그룹으로서의 LockBit의 운영 모델은 그룹이 달성한 영향력과 명성의 핵심 원동력이었습니다. LockBit은 계열사들이 공격 실행에 LockBit 도구와 인프라를 사용하도록 인센티브를 제공하는 방식을 통해 RaaS 시장에서 차별화되었습니다. 이러한 인센티브에는 제휴사가 랜섬웨어 대가를 먼저 받을 수 있도록 보장하고, 홍보 활동과 경쟁 RaaS 플랫폼에 대한 공개 비평에 대한 보상을 제공하며, 사용자 친화적인 인터페이스로 랜섬웨어 배포를 간소화하는 것이 포함됩니다.

락빗 전술, 기법 및 절차(TTP)

락빗 랜섬웨어 공격은 일반적으로 취약점, 피싱 또는 무차별 암호 대입 원격 데스크톱 프로토콜을 악용하여 초기 액세스를 시도합니다. 네트워크에 침투한 이후에는 PowerShell Empire, Cobalt Strike, PsExec과 같은 도구를 사용하여 측면 이동 및 암호화를 준비합니다. 이들은 종종 로그를 삭제하여 피해자의 복구 능력을 방해합니다. 록빗 공격자들은 로르샤흐, 바부크와 같은 랜섬웨어 변종과 함께 간헐적 암호화라는 기술을 자주 사용하여 파일의 일부만 표적으로 삼아 더 빠르고 효율적인 공격을 수행합니다. 공격자는 눈에 보이는 공격 단계의 기간을 최소화함으로써 사이버 보안 방어에 대한 성공 가능성을 높입니다.

LockBit이 데이터를 암호화한 후, 위협 행위자는 피해자에게 복호화 키에 대한 몸값을 지불하도록 유도합니다. 랜섬웨어 그룹은 피해자에 대한 정보를 게시하는 유출 사이트도 운영합니다. 이 사이트는 이중 갈취 전술의 일부로 사용되는데, 피해자가 몸값 지불을 거부하면 이 공개 플랫폼에 탈취한 데이터를 공개하겠다고 협박합니다. 이 유출 사이트는 민감한 정보를 대중에게 노출하여 피해자가 몸값 요구에 응하도록 압박함으로써 피해 조직의 평판 및 운영 위험을 증가시키는 도구로 사용됩니다.

락빗은 몸값 지불을 용이하게 하는 주요 가상자산 비트코인을 사용해 왔지만, 락빗 3.0의 진화를 통해 피해자로부터 수금하고 계열사에 지불하는 데 있어 Z캐시와 같은 개인정보 보호 강화 결제 옵션을 도입했습니다.

락빗 활동의 온체인 분석은 피해자의 초기 몸값이 80%는 락빗 계열사로, 20%는 락빗의 관리자에게 분배되는 그룹의 운영 구조를 강조합니다. 이후 락빗 운영자들은 와사비 2.0을 사용하여 미국과 아시아의 여러 비수탁 거래소 및 중앙 집중식 VASP와 자금을 혼합하여 피해자의 자금을 세탁했습니다.

‍

‍

‍

랜섬웨어 방어를 위한 블록체인 인텔리전스 역할 

오늘의 혼란은 RaaS가 시민과 기업에 계속 위협이 되고 있는 가운데 전 세계 법 집행 기관이 우선순위를 두고 있는 일련의 혼란을 이어가고 있습니다. 끊임없이 진화하는 랜섬웨어 특성과 이 위협의 끊임없는 경제적 피해를 고려할 때, 랜섬웨어 위협 행위자를 차단하는 데 계속해서 집중할 것으로 예상됩니다. 

랜섬웨어 그룹은 TTP와 이름을 진화시킬 수 있지만 블록체인은 변하지 않는 원장으로 남아 있습니다. 블록체인 인텔리전스 도구는 계속해서 압수수색을 가능하게 하고 악의적인 행위자를 막는 데 중요한 역할을 할 것입니다. 

TRM은 재무부를 지원하게 된 것을 자랑스럽게 생각합니다, DOJ(미국 법무부), NCA 및 전 세계 법 집행 기관이 금융 시스템의 무결성을 보호하기 위해 지속적으로 노력하고 있습니다.