2023년 3분기 알약 레고카지노 행위기반 차단 건수 총 41,065건!

안녕하세요!이스트시큐리티 시큐리티대응센터(ESRC)입니다.

2023년3분기 자사 백신 프로그램‘알약’에 탑재되어 있는‘레고카지노 행위기반 사전 차단’기능을 통해 총41,065건의 레고카지노 공격을 차단했으며,이를 일간 기준으로 환산하면 일 평균446건의 레고카지노 공격이 차단된 것으로 볼 수 있습니다.

이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약 백신프로그램의‘레고카지노 행위기반 사전 차단 기능’을 통해 차단된 공격만을 집계한 결과입니다.

이 밖에2023년3분기 주요 레고카지노 동향은 다음과 같습니다.

1)클롭(Clop)레고카지노 조직, Moveit취약점을 이용한 공격 지속

2) 3AM레고카지노 등장

3) VMware ESXI서버 타깃 레고카지노 지속

4)락빗(LockBit)레고카지노의 쇠퇴

레고카지노 그룹들이 새로운 전성기를 맞이하였습니다.

레고카지노 공격 그룹의 기술적 수준이 날로 높아지고 있으며,새로운 레고카지노도 지속적으로 등장하고 있습니다.

클롭(Clop) 레고카지노 조직, 무브잇(MOVEit)취약점을 이용한 공격 지속되었습니다.

첫째, 5월 27일, 클롭 레고카지노 조직이 무브잇 트랜스퍼(MOVEit Transfer) 제로데이 취약점을 악용하여 데이터 탈취 공격을 진행하였습니다. 무브잇이 빠른 패치를 내놓았고 이후 2개의 추가 취약점을 해결했지만, 무브잇 취약점을 이용한 공격은 3분기까지 지속되었습니다. 이 공격으로 인해 약 500개의 조직과 3,500만명의 개인이 피해를 입은 것으로 확인되었으며, 이를 통해 약 1억달러 이상의 수익을 거두었을 것으로 예상됩니다.

클롭 레고카지노 그룹은 이번 공급망 취약점을 이용하여 큰 성공을 이루었으며,이러한 점을 모방하여 다른 레고카지노 조직들도 새로운 공급망 취약점을 찾아 공격에 활용할 가능성이 높아질 것으로 예상되는 만큼 기업 보안담당자들께서는 사내에서 사용하는SW들의 버전을 항상 최신으로 유지할 것을 권고 드립니다.

새로운3AM레고카지노가 발견되었습니다.

3AM레고카지노는Rust언어로 작성되었으며 기존에 알려진 레고카지노 제품군과는 관련 없는 새로운 레고카지노 계열로 추정되고 있습니다.특이한 점은,공격자들이 락빗 레고카지노 배포 시도 후 실패할 경우3AM레고카지노를 배포한다는 것 입니다.

3AM레고카지노는 파일을 암호화 하기 전,다양한 보안 및 백업 제품 등 여러 서비스를 중지하려고 시도하며,암호화 완료 후에는 볼륨 섀도 복사본 삭제를 시도합니다.랜섬 행위 외에 다양한 코발트 스트라이크(Cobalt Strike)구성 요소를 실행하고PsExec을 사용하여 시스템 권한 상승 시도합니다.파일 암호화 이후 확장자를.threeamtime으로 변경하여3AM레고카지노로 명명되었습니다.

단일 공격에서 두 종류의 레고카지노를 유포하는 것이 처음발견된 것은 아니지만,현재 제일 활발하게 공격을 진행중인 락빗 레고카지노 공격의 대체 수단으로 사용되었다는 점 만으로도 충분히 주목할만합니다.향후3AM레고카지노가 독립적으로 공격을 진행하는 방향으로 진화할 지는 지켜볼 필요가 있습니다.

VMware ESXi를 타깃으로 하는 레고카지노 공격도 지속되었습니다.

많은 기업들이 더 나은 성능 및 리소스 관리를 위하여 가상화 환경을 구축하는 추세입니다. VMware ESXi는 가장 인기있는 가상머신 플랫폼 중 하나입니다.

몬티(Monti)레고카지노는2022년6월 처음 발견되었으며,의도적으로 콘티(Conti)레고카지노를 모방한 이름과 공격기법을 사용하였습니다.심지어 콘티의 유출된 소스코드를 사용하기도 하였습니다.

이 조직은23년8월 새로운Linux기반의 레고카지노를 공개하였는데,기존에 유출되었던 콘티의 소스코드를 기반으로 제작된 이전 버전과는 달리 새로운 버전은 다른 암호화 방식을 사용하며,파일 크기를 기준으로 암호화 할 파일을 선정하는 것으로 확인되었습니다.암호화 후에는 파일 확장자를.monti로 변경합니다.

2023년3월에 등장한Abyss Locker의 리눅스 버전이Vmware ESXi서버를 타깃으로 공격을 진행중인것이 확인되었습니다.다른 레고카지노들과 마찬가지로, Abyss Locker레고카지노 역시 기업 네트워크에 침투하여 데이터를 탈취하고 암호화 합니다.또한 랜섬머니를 지불하지 않을 시Abyss-data라는Tor사이트에 데이터를 유출합니다.분석결과Vmware ESXi관리툴 명령어인‘esxcli’를 이용하여 사용가능한 가상머신들을 모두 종료하는 것을 보아 해당 레고카지노가VMware ESXi서버를 공격 대상으로 하고 있다는 점을 알 수 있습니다.

락빗 레고카지노가 쇠퇴의 길로 들어서는 것으로 추정되고 있습니다.

락빗 레고카지노는2020년 처음 등장한RaaS레고카지노로,등장이후부터 락빗 레고카지노는 최근까지 활발한 공격 활동을 벌였습니다. 22년9월22일,락빗3.0빌더가 유출되었고,이렇게 유출된 빌더의 소스코드는 다른 레고카지노 조직들에게 악용되어 다양한 변종을 제작하는데 사용되었습니다.그리고 최근 락빗 빌더로 제작되었지만,랜섬머니 요구절차가 락빗과 완전히 다른 레고카지노가 발견되기도 했습니다.

최근 한 보안전문가 블로그에 따르면,락빗 데이터 유출 사이트에 심각한 버그가 있으며,일부 협력사들이 이러한 버그를 눈치채고 이미 락빗을 떠났다고 밝혔습니다.또한 락빗의 새로운 버전의 출시가 늦어지는것도 락빗의 협력사들이 갖는 불만중 하나라고 밝혔습니다.

락빗 레고카지노가 이러한 어려움을 딛고 다시 명성을 되찾을 것인지,아니면 이렇게 쇠퇴의 길로 들어설 것인지 향후 행보에 관심이 쏟아지고 있습니다.

이 밖에ESRC에서 선정한2023년3분기 새로 발견되었거나 주목할 만한 레고카지노는 다음과 같습니다.

이스트시큐리티는 레고카지노 감염으로 인한 국내 사용자 피해를 미연에 방지하기 위해 한국인터넷진흥원(KISA)과의 긴밀한 협력을 통해 레고카지노 정보 수집과 유기적인 대응 협력을 진행하고 있습니다.