LockBit 랜섬웨어 유사 파일명 형태로 대량 유포 중

ASEC 분석팀은 지난 3차례에 걸쳐 LockBit 랜섬웨어가 메일을 통해 유포되고 있음을 ASEC 블로그에 게시한 바가 있는데, 꾸준한 모니터링을 통해 LockBit 2.0과 LockBit 3.0 랜섬웨어가 파일명만 변경하여 또 다시 유포 중임을 알리고자 한다. 이번 유포 방식은 이전에 소개하였던 워드 문서나 저작권 사칭 메일이 아닌 입사지원 관련으로 위장한 피싱 메일을 통해 유포 중이다.

• 지원서 및 저작권 관련 메일로 LockBit 랜섬웨어 유포 중 (2022년 2월)
• 저작권 사칭 메일을 통한 LockBit 랜섬웨어 유포 (2022년 6월)
• 입사지원 위장 메일로 유포 중인 NSIS형태의 LockBit 3.0 랜섬웨어 (2022년 9월)
• 워드 문서를 통해 유포되는 LockBit 3.0 랜섬웨어 (2022년 9월)

피싱 이메일에 첨부된 압축 파일은 [사람이름].zip 형태로 존재하고, 내부에는 추가적인 압축 파일이 존재한다. 추가 압축 파일 내부에는 사진 파일을 위장한 LockBit 2.0 랜섬웨어와 정상 엑셀 파일을 확인할 수 있다. 유포되고 있는 랜섬웨어의 파일명은 “(특수문자)이력서_221112(빠릿하게 일하는모습 모여드리겠습니다).exe” 형태인 것을 확인할 수 있다. 자사 인프라를 통해 수집되어 확인된 LockBit2.0 랜섬웨어 파일명은 다음과 같다.

EXE 실행 파일 아이콘으로 표현된 V3 Zip 화면과 다르게 실제 폴더에는 사진 파일로 위장한 형태의 실행 파일이 존재한다. 랜섬웨어가 실행되면 [기존 파일명].lockbit의 파일명으로 암호화가 수행되며, Restore-My-Fils.txt의 랜섬 노트와 함께 감염 화면을 띄운다.

LockBit3.0 랜섬웨어의 유포 방식도 동일하다. 수집된 랜섬웨어는 “(특수문자)이력서_201116(경력사항도 같이 기재하였습니다 잘 부탁드립니다).exe”의 파일명 형태로 유포된다. 아래는 자사 인프라를 통해 수집된 LockBit3.0 형태의 랜섬웨어 파일명이다.

LockBit 3.0 랜섬웨어는 한글 파일로 위장한 형태로 유포되고 있으며, 대량 유포를 위해 위와 같이 파일명을 일부분 변경한 것으로 추정된다.

랜섬웨어가 실행되면 [기존 파일명].YQ85HpV1의 파일명으로 암호화가 진행된다.

최근 LockBit 랜섬웨어는 버전의 제약없이 유사한 형태로 대량 유포되고 있고 유사한 파일명을 통해 대량으로 유포되고 있다. 사용자는 문서 파일 형태의 확장자를 확인하고, 사용하는 응용 프로그램 및 V3를 최신 버전으로 업데이트하여 출처를 알 수 없는 파일 실행에 각별한 주의가 필요하다.

[파일 진단]

• Ransomware/Win.LockBit.C5305341 (2022.11.14.02)
• Ransomware/Win.LockBit.C5307739 (2022.11.17.03)

[행위 진단]

• Ransom/MDP.Decoy.M1171

[IOC 정보]

• 48aa442a0670b65a82eee99c1ed1ac78
• b303ffe0bbddca1570940557cabdd966

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.