락빗이 사이버 보안을 완전히 바꾼 방법
How LockBit Changed Cybersecurity Forever
모든 산업에서 선구자들은 발전과 혁신을 주도합니다. 어떤 사람들은 이들이"미쳤다"고 말하기도 합니다. 사이버 범죄의 세계에서도 같은 규칙이 적용됩니다.
대부분의 위협 조직은 주목받지 않으려고 노력합니다. 그들은 아무도 신뢰하지 않고 자금 흐름을 철저히 통제 하기를 원합니다.
그러다 락빗(LockBit)이 등장했습니다. 이 그룹은 높은 인지도를 유지하고 있을 뿐만 아니라 몸값 수익 창출 방식을 완전히 뒤집어 놓았습니다.
이 그룹의 혁신적인 접근 방식 덕분에 2022년에 발생한 전체 랜섬웨어 공격 중 44%를 차지했습니다.
락빗의 성공 비결은 무엇인가요? 이들의 등장으로 인해 보안에 어떤 변화가 있었을까요?
In every industry, visionaries drive progress and innovation. Some call these pioneers “crazy”. The same rule applies to the world of cyber gangs. Most threat groups try to maintain a low profile. They don’t seem to trust anyone and want tight control over money flow.
Then along came LockBit. Not only does the group maintain a high profile, but they’ve also turned ransom monetization upside down. Thanks to their innovative approach, the group has claimed 44% of total ransomware attacks launched in 2022.
What’s the secret to LockBit’s success? How has security changed due to the gang’s appearance?
새로운 랜섬웨어 패러다임
A Brand New Ransomware Paradigm
불과 몇 년 만에 락빗 랜섬웨어 조직은 역사상 가장 악명 높은 사이버 그룹 중 하나가 되었습니다. 이전엔 "ABCD 랜섬웨어"라고 불렸던 락빗은 2019년 말에 출범한 이래 빠르게 인기를 얻었습니다. 이 그룹은 멀웨어를 제작하고 웹사이트를 관리하는 중앙 팀으로 구성되어 서비스형 랜섬웨어(Ransomware-as-a-Service)를 운영하는 한편, 사이버 공격을 실행하는 데 도움을 주는 관련 조직에도 코드에 대한 액세스 권한을 부여했습니다.
락빗 제휴사는 취약점 검색 또는 네트워크 크래킹과 같은 다양한 분야의 전문가입니다. 락빗 이전에는 각 계열사가 인보이스 발행 시스템처럼 마지막에 몸값의 일부를 받는 방식으로 지불 프로세스가 이루어졌으나 많은 제휴사 정당한 값을 지불 받지 못했고, 이는 사이버범죄 커뮤니티에서 흔히 나오는 불만이었습니다.
이 문제를 해결하기 위해 락빗은 기존의 방식을 뒤집고 제휴사가 협상과 결제를 담당하도록 했습니다. 이를 통해 신뢰를 쌓고 사기에 대한 두려움을 없앴습니다.
이러한 변화는 개선된 랜섬웨어 제품과 결합되고, 락빗은 제휴사들 사이에서 선호되는 선택이 되었습니다. 현재는 이 조직은 높은 수요로 전 세계 랜섬웨어 공격의 거의 절반을 담당하고 있습니다.
In a matter of a few years, the LockBit ransomware gang has become one of the most notorious organized cyber groups in history. Previously referred to as “ABCD ransomware,” LockBit made its debut in late 2019 and saw a swift rise in popularity. Operating as a Ransomware-as-a-Service, the group consists of a central team that crafts the malware and manages its website. Meanwhile, the group also grants access to its code to affiliates who help execute the cyberattacks.
Affiliates are experts in various areas, such as vulnerability search or network cracking. Prior to LockBit, the payment process involved each affiliate receiving a share of the ransom at the end, sort of like an invoicing system. However, this resulted in many affiliates not being paid their fair share — a common complaint in criminal forums.
To address this, LockBit flipped the script and placed its affiliates in charge of negotiations and payments. By doing so, trust was established and the fear of being swindled was removed. This shift, coupled with an improved ransomware product, made LockBit the preferred choice among affiliates. Due to high demand, the group is now responsible for almost half of all ransomware attacks worldwide.
연구 논문 공모
A Call for Research Papers
2020년 6월, 러시아 다크 웹 커뮤니티에 특이한 공고가 올라왔습니다. 불법 제품에 대한 수많은 광고 중에서 "연구 논문 공고"가 눈에 띄었습니다.
이 조직의 리더인 LockBitSupp는 셸 획득, 멀웨어 코딩, 바이러스, 봇 개발 및 수익 창출과 같은 주제에 대한 논문을 요청했고, 최우수 논문에겐 5,000달러의 상금이 수여한다고 했습니다.
애널리스트1의 수석 보안 분석가인 존 디마지오(Jon DiMaggio)는 사이버 범죄자들이 주로 사용하는 공간에서 학술적인 논문을 공모한다는 사실에 놀라움을 금치 못했습니다. 그는 이것이 일반적으로 비밀리에 활동하는 조직의 허영심에 교묘하게 호소하는 것이라고 생각했습니다. 파격적인 방식에도 불구하고 이 공모는 상당한 관심을 불러 일으켰습니다.
디마지오에 따르면 이 논문 공모는 조직을 전문화하려는 LockBitSupp의 노력의 시작에 불과했고, 조직의 운영 및 표준을 향상시키기 위한 여러 계획 중 하나라고 했습니다. 이러한 노력으로 락빗은 다른 전통적인 랜섬웨어 조직과 차별화되었습니다.
In June 2020, an unusual announcement appeared on Russian Dark Web forums. Among the many advertisements for illegal goods, a “Call for Papers” stood out. The gang’s leader LockBitSupp invited submissions on topics such as obtaining shells, malware coding, viruses, bot development and monetization. The call also offered a $5,000 cash prize for the best paper.
Chief security analyst at Analyst1, Jon DiMaggio, was amazed by the appearance of an academic-style call for papers in a space primarily used by cyber criminals. He viewed it as a cunning appeal to the vanity of a group that typically operates in secrecy. Despite its unconventional nature, the contest generated a significant amount of interest.
The paper contest was only the beginning of LockBitSupp’s efforts to professionalize the group, according to DiMaggio. The contest was one of many initiatives that aimed to elevate the group’s operations and standards. These efforts set LockBit apart from other, more traditional, ransomware gangs.
락빗, 프로가 되다
LockBit Goes Pro
시간이 지남에 따라 LockBitSupp는 사용자 친화적인 랜섬웨어 대시보드를 만들기 위해 개발자를 모집하여 조직의 인프라를 혁신했습니다. 디마지오가 랜섬웨어 결제 모델에 대한 LockBitSupp의 획기적인 접근 방식을 최초로 보고했습니다.
락빗의 브랜딩 여정에는 로고도 포함되었습니다. 이는 랜섬웨어 업계에서는 이례적인 일로, Vice Society와 같은 소수의 조직만이 같은 일을 하고 있었기 때문입니다. 락빗 로고는 유출 웹 사이트부터 랜섬노트, 그리고 그들이 후원하는 모든 것에 이르기까지 락빗 브랜드를 시각적으로 표현하는 상징이 되었습니다.
락빗은 심지어 사람들에게 500~1,000달러를 받고 로고를 문신으로 새겨주겠다고 제안하기 시작했습니다. "누구도 랜섬웨어 브랜드의 이름과 로고를 몸에 문신으로 새기는 사람은 없을 거라고 생각했지만 사람들은 그렇게 했습니다. 이건 미친 짓이죠." 라고 디마지오가 말했습니다.
이후 LockBitSupp는 LockBit 2.0이라고도 하는 LockBit Red를 통해 랜섬웨어 비즈니스를 더욱 효율적이고 사용자 친화적으로 만들었습니다. 그들은 공격을 추적할 수 있는 대시보드를 만들고 푸시 알림 및 더 빠른 데이터 암호화 프로세스와 같은 기능을 추가했습니다. 중앙 관리 콘솔을 통해 코딩 기술이 부족한 사람들도 랜섬웨어 공격의 모든 요소를 더 쉽게 사용할 수 있도록 했습니다.
Over time LockBitSupp transformed the group’s infrastructure, recruiting developers to create user-friendly ransomware dashboards. DiMaggio was the first to report on LockBitSupp’s revolutionary approach to the ransomware payment model.
LockBit’s branding journey also included a logo. This was unusual in the ransomware world, as only a few groups like Vice Society were doing the same. The logo became the visual representation of the LockBit brand — from their leak website to ransom notes to anything else they sponsored.
They even began offering people $500 to $1,000 to tattoo the LockBit logo on their bodies. “I heard that, I’m like, there is no way anyone is going to tattoo the name of a ransomware brand and their logo on their bodies,” said DiMaggio. “And then people did. That’s just crazy to me.”
From there, LockBitSupp made his ransomware business more efficient and user-friendly with LockBit Red, also known as LockBit 2.0. He created a dashboard to keep track of attacks and added features such as push notifications and a faster data encryption process. The central management console made all elements of a ransomware attack easier to use, even for those with limited coding skills.
락빗 버그 바운티
LockBit Bug Bounty
LockBit 3.0은 업계 최초로 랜섬웨어 조직이 주도하는 버그 바운티 프로그램을 시작하여 새로운 역사를 만들었습니다. 이 프로그램은 보안 전문가들에게 취약점을 발견해 신고할 경우 1,000달러에서 최대 100만 달러까지 포상금을 지급한다고 했습니다.
"전 세계의 모든 보안 연구자, 선의의 해커, 비선의의 해커가 버그 바운티 프로그램에 참여할 수 있도록 초대합니다. 포상 금액은 1,000달러에서 100만 달러까지 다양합니다." 라고 LockBit 3.0 버그 바운티 웹페이지에 게시되어 있습니다.
Next, LockBit 3.0 made history by launching the industry’s first bug bounty program initiated by a ransomware group. The operation invites security experts to uncover vulnerabilities and report them for rewards ranging from $1,000 to a staggering $1 million.
“We invite all security researchers, ethical and unethical hackers on the planet to participate in our bug bounty program. The amount of remuneration varies from $1000 to $1 million,” reads the LockBit 3.0 bug bounty page.
또한, 락빗은 취약점 발견 포상금을 지급하는 것 이외에도 버그 바운티 프로그램을 확장하여 랜섬웨어 운영을 개선할 수 있는 창의적인 방법에 대한 포상금도 제공하고 있습니다. 심지어 LockBitSupp이 누구인지 알아내는 사람에게 100만 달러의 상금을 걸기도 했습니다.
Moreover, LockBit has expanded its bug bounty program beyond just paying for discovered vulnerabilities and is now offering bounties for creative ways to enhance its ransomware operation. They even put up a $1 million cash prize for anyone who could identify LockBitSupp.
보안 업체 Dragos에 따르면 LockBit 멀웨어는 2022년 산업 조직 및 인프라에 대한 랜섬웨어 공격의 주요 부분을 차지했으며, 2분기와 3분기에 각각 33%와 35%라는 엄청난 비율을 차지했습니다.
미국 법무부는 11월에 락빗이 전 세계적으로 최소 1,000명이상에게 피해를 입혔다고 밝혔습니다. 법무부는 락빗 해커들은 최소 1억 달러의 몸값을 요구했으며 피해자들로부터 수천만 달러를 받아냈다고 밝혔습니다. FBI는 2020년 초에 이 조직에 대한 조사를 착수했고, 2022년 2월에는 락빗이 광범위한 전술, 기술 및 절차(TTP)를 활용한다는 점을 경고했고, 방어에 만만찮은 장애물을 내놓고 있다고 강조 했습니다.
According to security company Dragos, the LockBit malware was responsible for a major portion of ransomware attacks on industrial organizations and infrastructure in 2022, with a staggering 33% and 35%, respectively, during Q2 and Q3.
The U.S. Department of Justice revealed in November that LockBit wreaked havoc on at least 1,000 victims globally. The Justice Department stated that LockBit’s extortionists have made at least $100 million in ransom demands and obtained tens of millions of dollars from their victims. The FBI commenced its probe into the group in early 2020, and in February 2022, it issued a cautionary alert, highlighting that LockBit utilizes a vast array of tactics, techniques and procedures (TTPs), presenting formidable hurdles for defense.
락빗은 어떻게 될까?
How Will LockBit Fail?
디마지오는 그의 매우 상세한 보고서에서 락빗에게 결국 어떤일이 일어날지 예측합니다.
디마지오는 "메이즈(Maze), 레블(REvil), 콘티(Conti)와 같은 한때 1위를 차지했던 이전 조직들은 결국 모두 무너졌습니다. 이 조직들의 공통점은 자아가 통제 불능 상태가 되어, 탐욕으로 인해 일을 너무 밀어붙였다는 점입니다. 결국 그들은 기존 법 집행 기관보다 더 많은 방책을 가진 정부 전체의 관심을 끌기 위해 도를 넘었습니다."라고 말했습니다.
락빗이 무너질지 여부는 시간이 말해 줄 것입니다. 지금은 모두 보안에 신경쓸 때입니다.
In Dimaggio’s highly detailed report, he predicts what might eventually happen to LockBit.
“The previous gangs that once held first place, such as Maze, REvil and Conti, all eventually fell,” Dimaggio said. “The common theme across each is that their egos grew out of control, and their greed drove them to push things too far. Eventually, they overstep and gain attention from entire governments with greater resources than traditional law enforcement.”
https://securityintelligence.com/articles/how-lockbit-changed-cybersecurity/