01. 개요

○ 19년부터 활동한 대표적인 RaaS모델 LockBit랜섬웨어 그룹 Onion사이트가 해킹되어, 22.04 ~ `25.11까지 활동한 관리자 패널 탈취 및 DB스가 포함된 패키지 파일 공개

• 비트코인 주소(59,975개), LockBit 빌드정보, 랜섬웨어 공격자와 피해자 협상채팅(4,442개)

○ (LockBit 버전별 특징) LockBit은 LockBit1.0(2019, ‘.abcd’확장자로 윈도우 기반의 RSA+AES암호화) LockBit2.0(2021, 전파기능 추가), LockBit3.0/Black(2022, 랜섬웨어 최초로 버그바운티 출시), LockBit Green(2023, Conti랜섬웨어 일부 통합)

○ 2024.02.19., ‘크로노스 작전(Operation Cronos)’으로 12시간 동안 3개국 28대 서버가 다운되고 관련자 체포 및 조직과 연계된 200개 이상의 암호화폐 계정 동결

• LockBit 랜섬웨어는 무력화 이후 새로운 인프라를 통해 공격을 재기하였으나, 이해관계자의 기소 등으로 인해 LockBit이외에 다른 RaaS그룹이 부상

○ LockBit 랜섬웨어 그룹 외에 RansomHub, CLOP, Akira, Qilin, Play 등 다수의 RaaS모델은 멀티 플랫폼을 지원하고 있으며 잘못 구성된 클라우드나 EDR무력화 등을 활용

• 2025년 2월부터 북한 해킹그룹 Moonstone Sleet이 PuTTY로 위장한 악성 소프트웨어, 악성게임, npm패키지, Linkedin, Telegram 등을 통해서 Qilin 랜섬웨어를 배포하는 표적형 공격을 수행(Storm-1789와 Diamond Sleet, Onyx Sleet등의 공격그룹과 오버랩)

02. 대응방안

○ RaaS 랜섬웨어 공격그룹 상당수는 △ 보안패치 되지 않은 취약점 이용, △ 다중협박, △ Tor기반 유출 사이트 및 .oinon도메인, △ 제휴사간의 긴밀한 서비스 모델을 제공함에 따라 랜섬웨어 수익모델의 세부화로 인한 대응체계 강화 필요

• 랜섬웨어 공격 특성 상 암호화 시에 복호화키 없이 복구가 불가하기 때문에 철저한 백업관리 및 ASM을 통한 노출된 취약한 공격 벡터 최소화가 중요

03. LockBit 랜섬웨어 데이터베이스 정보 노출 현황

3.1. 정보노출 개요

○ 2025년 5월 7일(UTC기준) LockBit랜섬웨어가 운영하는 onion사이트에 ‘범죄를 저지르지 마세요. 범죄는 나쁘죠. 프라하에서 온 xoxo(Don’t do crime CRIME IS BAD crime is bad xoxo from Prague)‘라는 메시지와 함께 ’paneldb_dump.zip‘파일 공개