[소만사 악성코드 분석리포트 ] “HexaLocker 랜섬웨어 분석
국내 대기업도 계정, 소스코드 유출피해, LAPSUS$ 그룹의 자체개발
1. 요약
1) LAPSUS$ 그룹은 2021년 하반기에 최초로 식별, 각국의 잘 알려진 기업 및 기관을 공격하여 빠르게 유명세를 얻음
2) 피해사례: ① 마이크로소프트: Bing, Bing Maps, Cortana 소스코드 유출 ② 엔비디아: 1TB 민감정보 탈취 70,000개 이상의 직원 이메일 주소, NTLM 암호 해시, 소스코드 스크린샷 포함 ③ 국내 S사: 최신 모델 관련 소스코드 유출 ④ 국내 L사: 직원 및 서비스 계정들의 모든 해시가 포함된 덤프파일 유출
3) LAPSUS$ 그룹은 텔레그램 채널에서 랜섬웨어 판매중, 해당 그룹이 개발한 HexaLocker 랜섬웨어에는 두 가지 유형 존재
① HexaLocker: 파일 암호화, 파일 유출 수행, 기존의 LAPSUS$ 랜섬웨어의 랜섬노트와 유사 ② HexaLocker RaaS: HexaLocker와 기본적인 기능은 동일, 디버깅방지, 가상화환경방지 등 방어 관련 기능 추가
2. 대응 방안
1) EDR/AV 솔루션 적용 (행위기반으로 차단)
2) 주요 데이터는 주기적인 백업을 통해 시스템 파괴 시에도 복구가 가능하도록 대비
3) 논리적 망분리(VDI)를 적용하여 악성코드 PC 유입을 원천 차단
4) 신뢰할 수 없는 메일의 첨부파일 실행 금지
5) 비 업무 사이트 및 신뢰할 수 없는 웹사이트의 연결 차단
6) PC취약점 점검과 조치 (OS나 어플리케이션은 가급적 최신 버전 유지하며 취약점 점검 및 조치)