LockBit 랜섬웨어란?

 LockBit은 ".lockbit" 확장자를 가진 파일로 암호화하여 데이터(파일, 이미지, 비디오)에 대한 액세스를 제한하는 파일 암호화 랜섬웨어입니다. 그런 다음 파일에 액세스하는 대가로 Bitcoin 암호화폐의 형태로 "몸값"을 요청하여 피해자로부터 돈을 갈취하려고 시도합니다.

이 랜섬웨어는 Windows 7, Windows 8.1 및 Windows 10을 포함한 모든 버전의 Windows를 대상으로 합니다. 이 실행 파일이 실행되면 암호화할 데이터 파일이 있는지 컴퓨터의 모든 드라이브 문자를 스캔하기 시작합니다.

LockBit 랜섬웨어는 암호화할 특정 파일 확장자를 가진 파일을 검색합니다. 암호화하는 파일에는 중요한 문서, 이미지, 비디오 및 .doc, .docx, .xls, .pdf 등과 같은 파일이 포함됩니다. 이러한 파일이 감지되면 이 랜섬웨어는 확장자를 LockBit으로 변경하므로 더 이상 파일을 열 수 없습니다. 이 랜섬웨어는 암호화된 각 파일의 이름을 name.id-ID.lockbit 형식으로 변경합니다.

한번 파일이 ".lockbit" 확장자로 암호화되면 이 파일을 열 수 없으며 이 랜섬웨어는 파일이 암호화된 각 폴더와 Windows 바탕 화면에 "Restore-My-Files.txt" 랜섬 메모를 생성합니다.

이 랜섬웨어가 컴퓨터 검사를 마치면 영향을 받는 컴퓨터에 있는 모든 섀도우 볼륨 복사본도 삭제됩니다. 이는 섀도우 볼륨 복사본을 사용하여 암호화된 파일을 복원할 수 없도록 하기 위한 것입니다.

LockBit 랜섬웨어는 감염된 첨부 파일이 포함된 스팸 이메일을 통해 감염되거나 운영 체제 및 설치된 프로그램의 취약점을 악용하여 감염됩니다.

사이버 범죄자는 위조된 헤더 정보가 포함된 이메일을 스팸으로 발송하여 DHL이나 FedEx와 같은 운송 회사에서 보낸 메일인 것처럼 믿게 만듭니다.

이메일은 사용자에게 소포를 배달하려고 시도했지만 어떤 이유로 실패했다고 알려줍니다. 때때로 이메일은 당신이 만든 선적에 대한 알림이라고 속입니다.

어느 쪽이든, 이메일이 무엇을 말하는지 궁금하게 하여 첨부 파일을 열거나 이메일에 포함된 링크를 클릭하게 만듭니다. 그리고 그로 인해 컴퓨터가 LockBit 랜섬웨어에 감염됩니다. 그러므로 수상한 이메일이 오면 절대로 이메일내의 첨부파일을 열거나 수상한 링크를 클릭하면 안됩니다.

이 랜섬웨어는 운영 체제 취약점을 악용하여 피해자를 공격하는 것도 발견되었다고 합니다. 일반적으로 악용되는 소프트웨어에는 운영 체제 자체, 브라우저, Microsoft Office 및 타사 응용 프로그램이 포함됩니다.

이 랜섬웨어가 피해자의 파일 암호화를 완료하면 이러한 사이버 범죄자에게 연락하는 방법에 대한 지침이 포함된 랜섬 노트도 표시됩니다.

LockBit 랜섬웨어가 표시할 메시지는 다음과 같습니다.

All your important files are encrypted! Any attempts to restore your files with the thrid-party software will be fatal for your files! RESTORE YOU DATA POSIBLE ONLY BUYING private key from us. There is only one way to get your files back: ………..

BIOPASS RAT 악성코드

 BIOPASS RAT이라고 하는 새로운 악성코드가 발견되었는데, 라이브 스트리밍을 사용하여 피해자의 화면을 감시하는 새로운 접근 방식을 취한다고 합니다.

BIOPASS RAT는 인기있는 라이브 스트리밍 및 비디오 녹화 앱인 OBS(Open Broadcaster Software) Studio의 프레임워크를 사용하여 실시간 메시징을 통해 클라우드 서비스에 라이브 스트리밍을 설정함으로써 피해자의 화면을 훔쳐볼 수 있다는 것입니다.

또한 이 공격은 Alibaba Cloud(Aliyun)의 오브젝트 스토리지 서비스(OSS)를 사용하여 BIOPASS RAT Python 스크립트를 호스팅하고 피해자로부터 추출된 데이터를 저장한다고 합니다.

악성코드 설치가 시작되면 악성코드는 피해자가 이미 BIOPASS RAT에 감염되었는지 여부를 확인하는데, 감염되지 않았다면 스크립트가 피해자의 화면에 사기성 콘텐츠를 표시하기 시작하여 사용자에게 Flash of Silverlight를 설치해야 함을 알려주고 악성 로더로 안내한다고 합니다.

새로운 로그인이 생성되면 악성코드는 Cobalt Strike 또는 BPS 백도어를 로드할 수 있는 다양한 예약된 작업을 생성하고 실행한다고 합니다.

BIOPASS RAT가 실행되면 백도어를 찾고 필요한 경우 백도어를 생성하고 타임스탬프를 추가합니다. 그런 다음 HTTP 서버를 열고 특정 포트 번호를 수신하도록 하는 "online.txt"라는 Python 스크립트를 로드합니다.

서버가 설정되고 실행되면 백도어는 특정 폴더에 실행 루트 디렉터리를 생성합니다.

그런 다음 BIOPASS RAT는 루트 디렉토리에 액세스하여 명령 및 제어 서버(C2)에 의해 피해자를 위해 생성된 사용자 ID가 있는 "bps.key"라는 파일을 찾습니다.

거기에서 BIOPASS RAT는 모든 것을 얻습니다. 데스크탑은 모니터링되고 RTMP 라이브 스트리밍을 통해 클라우드로 라이브 스트리밍됩니다. 데스크톱의 PNG 스크린샷이 업로드되고 셸 명령이 Python 기능을 트리거하여 스스로를 종료한 다음 예약된 작업을 통해 다시 시작할 수 있다고 합니다.

BIOPASS RAT는 피해자의 쿠키와 로그인 데이터 파일까지 수집합니다.

BIOPASS RAT는 중국 게임 사이트를 통해 감염이 시작되었다고 합니다.

njRAT 이란?

njRat은 원격 액세스 트로이 목마로 분류되는 프로그램입니다. 설치되면 사용자가 알지 못하게 백그라운드에서 실행되면서 다양한 민감한 데이터를 수집합니다. 피해자가 알지 못하게 몰래 설치됩니다.

 

일반적으로 사이버 범죄자는 다양한 채널을 사용하여 사용자가 스스로 프로그램을 다운로드하고 설치하도록 유도합니다.

 

사이버 범죄자들은 ​​njRat 트로이 목마 프로그램을 사용하여 시스템에 대한 정보를 수집하고 다양한 사용자와 암호, 기타 민감한 개인 데이터를 훔칩니다. 또한 이를 사용하여 여러 악성 프로그램을 다운로드하고 설치할 수 있습니다.

 

일반적으로 이런 유형의 프로그램은 수집된 모든 데이터를 사이버 범죄자가 제어하는 ​​원격서버로 보냅니다. 도난 및 수집된 데이터의 사용은 다른 방식으로 협박하거나 이익을 얻을 수 있습니다.

 

여러 개인 계정에 액세스함으로써 사이버 범죄자는 피해자에게 다양한 개인정보 문제를 일으키거나 재정적 손실을 입힐 수 있습니다.

 

njRat은 랜섬웨어 바이러스를 다운로드할 수 있으며, 이는 금전을 지불하지 않는한 컴퓨터에 저장된 파일에 대한 액세스를 차단하는 것입니다.

 

종종 사이버 범죄자들은 ​​첨부 파일이 포함된 정크 메일을 통해 악성 프로그램을 배포합니다. 이러한 파일은 일반적으로 MS Office 문서, JavaScript 파일, PDF 문서, JavaScript 또는 실행 파일, ZIP, RAR 등과 같은 파일입니다.

 

일단 열리면 악성 프로그램이 다운로드되고 하나씩 감염되면 결국에는 여러 컴퓨터들을 감염시킬 수도 있습니다. 이를 전파하는 또다른 방법은 P2P 네트워크, 비공식 웹사이트 등과 같은 신뢰할 수 없는 소프트웨어 다운로드 소스를 사용하는 것입니다.

 

악성 소프트웨어는 단순한 프로그램으로 위장할 수 있습니다. 그러나 일단 다운로드하여 실행하면 여러가지 바이러스가 설치됩니다. 또한 소프트웨어 불법 복제 도구 및 가짜 소프트웨어 업데이트 프로그램을 사용하여 컴퓨터 감염을 확산시킬 수도 있습니다.

 

바이러스를 배포하는 또다른 방법은 트로이 목마를 이용하는 것입니다. 이러한 프로그램은 일단 설치되면 다른 컴퓨터 감염을 확산시킵니다.

 

악성 프로그램 설치 방지

 

알 수 없거나 의심스러운 주소가 이메일로 보내진 경우 첨부된 파일을 열지 않아야 합니다. 타사 다운로더, P2P 네트워크 또는 기타 유사한 소스를 사용하는 비공식 웹사이트에서 소프트웨어를 다운로드해서는 안됩니다.

 

가장 안전한 다운로드 방법은 공식 웹사이트와 직접 링크를 사용하는 것입니다. 소프트웨어 업데이트에도 동일하게 적용됩니다. 설치된 프로그램은 타사 업데이트 도우미가 아닌 공식 개발자가 제공하는 통합기능 또는 도구를 사용하여 업데이트해야합니다.

 

소프트웨어 불법 복제 도구는 불법입니다. 이러한 도구들은 컴퓨터 감염을 유발할 수도 있습니다. 그러므로 그러한 도구들을 신뢰하지 않아야 하고 어떤 식으로든 컴퓨터 감염을 방지하려면 스파이웨어 또는 바이러스 방지 솔루션을 설치하고 항상 활성 상태로 유지해야 합니다.