소만사 | 국내 대기업도 계정, 소스코드 유출피해, LAPSUS$ 그룹의 자체개발, HexaLocker 랜섬웨어 분석

랜섬웨어 리포트

매달 하나의 악성코드/랜섬웨어를 선정하여 상세 리포트를 제공합니다.
소만사 유지관리고객이 되시면 악성코드 분석 전문가가 직접 샘플을 입수하여 분석한 최신 악성코드/랜섬웨어 리포트를 가장 빠르게 받아보실 수 있습니다.

랜섬웨어

국내 대기업도 계정, 소스코드 유출피해, LAPSUS$ 그룹의 자체개발, HexaLocker 랜섬웨어 분석

[소만사 악성코드 분석리포트 ] “HexaLocker 랜섬웨어 분석

국내 대기업도 계정, 소스코드 유출피해, LAPSUS$ 그룹의 자체개발

 

1. 요약
      1) LAPSUS$ 그룹은 2021년 하반기에 최초로 식별, 각국의 잘 알려진 기업 및 기관을 공격하여 빠르게 유명세를 얻음

 

      2) 피해사례:
     ① 마이크로소프트: Bing, Bing Maps, Cortana 소스코드 유출
     ② 엔비디아: 1TB 민감정보 탈취 70,000개 이상의 직원 이메일 주소, NTLM 암호 해시, 소스코드 스크린샷 포함
     ③ 국내 S사: 최신 모델 관련 소스코드 유출
     ④ 국내 L사: 직원 및 서비스 계정들의 모든 해시가 포함된 덤프파일 유출

 

      3) LAPSUS$ 그룹은 텔레그램 채널에서 랜섬웨어 판매중, 해당 그룹이 개발한 HexaLocker 랜섬웨어에는 두 가지 유형 존재
     ① HexaLocker: 파일 암호화, 파일 유출 수행, 기존의 LAPSUS$ 랜섬웨어의 랜섬노트와 유사
     ② HexaLocker RaaS: HexaLocker와 기본적인 기능은 동일, 디버깅방지, 가상화환경방지 등 방어 관련 기능 추가

 

2. 대응 방안
     1) EDR/AV 솔루션 적용 (행위기반으로 차단)
     2) 주요 데이터는 주기적인 백업을 통해 시스템 파괴 시에도 복구가 가능하도록 대비
     3) 논리적 망분리(VDI)를 적용하여 악성코드 PC 유입을 원천 차단
     4) 신뢰할 수 없는 메일의 첨부파일 실행 금지
     5) 비 업무 사이트 및 신뢰할 수 없는 웹사이트의 연결 차단
     6) PC취약점 점검과 조치 (OS나 어플리케이션은 가급적 최신 버전 유지하며 취약점 점검 및 조치)

PDF로 리포트 자세히 보기
이전글 허가받은 서명이 적용된 정상 드라이버로 위장, 시스템 권한 실행하여 탐지 및 차단 불가능한 “EDR 킬러“ BYOVD 공격 분석 2024.10.11
다음글 Conti, Diavol 등 랜섬웨어 유포에 악용 유로폴 국제수사 후 사라졌다 다시 등장한 악성코드 로더 ‘Bumblebee’ 2025.01.15
목록