![[그림 1] 2022.07 ~ 2023.06 랜섬웨어 활동량 통계 (출처 : Flashpoint)](https://s3-us-west-2.amazonaws.com/secure.notion-static.com/386d8b4c-9f0d-4f2d-89e7-6a332319773b/Untitled.png)
2019년 9월에 처음 등장한 LockBit 랜섬웨어는 LockBit 1.0, LockBit 2.0을 거쳐 현재의 LockBit 3.0 (LockBit Black) 에 이르기까지 점진적으로 업그레이드 되어 온 서비스형 랜섬웨어이다. LockBit 랜섬웨어는 교육, 금융, 의료, 인터넷 소프트웨어 및 서비스 부문을 포함한 여러 부문의 다양한 조직을 공격해온 것으로 알려져 있으며, 현시점에서 가장 활발히 활동하고 있는 랜섬웨어 중 하나로 손꼽힌다. Flashpoint가 공유한 랜섬웨어 통계(2022.07 ~ 2023.06)에 따르면, LockBit 랜섬웨어는 알려진 모든 랜섬웨어 공격의 27.93%를 차지하고 있다.
[그림 1] 2022.07 ~ 2023.06 랜섬웨어 활동량 통계 (출처 : Flashpoint)
LockBit 랜섬웨어는 전세계적으로 활동량이 가장 많은 랜섬웨어인 만큼, 국내에서도 피해 사례가 다수 발견되고 있다. 최근에는 이력서로 위장한 피싱 이메일의 첨부 파일을 통해 유포된 사례와 윈도우 원격 데스크톱 프로토콜(RDP)을 통해 접근 후 LockBit 랜섬웨어를 감염시킨 사례 등이 확인되고 있다.
LockBit 3.0 (LockBit Black) 랜섬웨어에 감염된 시스템에는 아래 그림과 같은 랜섬노트가 생성되고, 바탕화면이 변조되므로 감염 사실을 쉽게 인지할 수 있다.
![[그림 2] 랜섬노트](https://s3-us-west-2.amazonaws.com/secure.notion-static.com/b37ceaac-14c3-4793-90bb-ae6fa756e7aa/Untitled.png)
[그림 2] 랜섬노트
![[그림 3] 바탕화면 변조](https://s3-us-west-2.amazonaws.com/secure.notion-static.com/2788bd16-7409-4879-b7e7-5938c03528ad/Untitled.png)
[그림 3] 바탕화면 변조
| 구분 | 내용 |
|---|---|
| 파일명 | LBB.exe |
| 파일 크기 | 163,328 bytes |
| 악성코드 유형 | 랜섬웨어 (LockBit Black) |
| MD5 | 24AE0FB3100A781A17F550CEF3A2694C |
| SHA1 | 2A478E79B0187CC0B1ADCAE793CC922161E2A3D4 |
| SHA256 | 594D5BEE165C7BF6465495158C3D01B142E87C36211A21B1B22E2D8E9F2C756F |
| SSDEEP | 3072:XuJ9OlKolUa1U197bzhVsmftsBlqhs2R18Pamw7cMC:Xufj0zi1dNVsmftilqOw18P7w7cP |
| VirusTotal | https://www.virustotal.com/gui/file/594d5bee165c7bf6465495158c3d01b142e87c36211a21b1b22e2d8e9f2c756f/detection |
LockBit Black 랜섬웨어는 감염 시스템에 설정된 언어를 확인하여 특정 국가의 언어 코드와 일치 시 랜섬웨어 행위를 수행하지 않고 종료된다. 이는 특정 국가에 대한 랜섬웨어 공격을 수행하지 않기 위한 것으로 풀이된다.