[소만사 악성코드 분석리포트 ] LockBit 3.0 랜섬웨어

22년 2·3분기 공격유형 1위_공공기관, 이력서 사칭을 통한 국내기업 공격

1. 요약
1) 서비스형 랜섬웨어(RaaS)로 등장 → 해커가 랜섬웨어를 제작한 후 범죄집단에 판매하는 형식
2) 국내 기업기관 타깃으로 공격 활동 수행 → 공공기관 사칭, 이력서 위장, 저작권법 위반 등 피싱메일을 통한 한글파일, 오피스파일 배포
3)  2022년 2·3분기, TrednMicro의 랜섬웨어 공격동향에 따르면 타 랜섬웨어 대비 공격 비율이 4배 이상 높은 것으로 파악 → 정보탈취에 특화된 Amadey Bot과 연동되어 피해는 지속적으로 증가
4) 2022년 9월, GitHub에 Builder가 게시되어 제약없이 다운로드 됨 → Builder를 통한 랜섬웨어 커스텀, 변종생성, 유포방식에 변화가 있을 수 있어 기존 시그니처 기반 탐지 안티바이러스 솔루션으로는 탐지 한계 발생

2. 대응 방안
1) Privacy-i EDR과 같은 EDR 솔루션의 ‘행위기반 탐지엔진’으로 실행 차단: 일반 Anti-Virus 솔루션에서도 대부분 차단 가능하나 최신 업데이트 필요
2) 비정상적인 프로세스 행위는 실시간으로 모니터링
3) 내부 데이터 보호를 위해 업무망 망분리 수행
4) 신뢰할 수 없는 메일의 첨부파일은 실행금지 : 메일 내용과 보내는이 계정에 연관성이 없거나 문법적으로 어색하고 신뢰할 수 없는 링크 또는 첨부파일 클릭을 유도하는 메일
5) 비 업무 사이트 및 신뢰할 수 없는 웹사이트 연결 차단
6) OS 및 소프트웨어 보안 업데이트를 항상 최신형상으로 유지