국내에 LockBit 3.0 토토 커뮤니티 유포 시작! 비너스락커(VenusLocker) 혹은 모방 조직으로 추정돼

​​

국내에 꾸준히 토토 커뮤니티를 유포중인 비너스락커(VenusLocker)조직 혹은 비너스락커 조직을 모방하는 조직이 최근 새로 업데이트 한 LockBit 토토 커뮤니티 3.0 버전의 유포를 시작하였습니다.

LockBit3.0은올해7월초에등장하였지만국내에서는여전히LockBit2.0버전이유포되고있었습니다.

하지만,금일LockBit3.0버전의유포가확인되어사용자들의각별한주의가필요합니다.

유포방식은기존과동일하게입사지원서를위장한피싱메일을통해유포중이며,이력서를위장한토토 커뮤니티파일이첨부되어있습니다.

기존과 마찬가지로 국내사용자들을 대상으로 공격을 진행중이며,국내 맞춤형으로 한글(HWP)파일 아이콘을 위장한 실행파일(exe)로 유포중입니다.

​​

[그림 1] 한글파일 아이콘을 위장하여 유포중인 토토 커뮤니티

만일 사용자가 해당 파일을 한글파일로 오인하여 실행하면, LockBit 3.0 토토 커뮤니티가 실행됩니다.

LockBit 3.0 토토 커뮤니티가 실행되면, 사용자 PC 내 파일들을 암호화 한 후 파일명과 확장자를 [랜덤한 6자리 문자열].[랜덤한 9자리 문자열]로 변경합니다. 파일명도 함께 변경되기 때문에, 기존 파일이 어떤것이였는지 확인하기 어렵습니다.

또한 암호화 후 사용자 PC의 바탕화면을 바꾸고 토토 커뮤니티노트를 생성합니다.

​

[그림 2] 토토 커뮤니티 감염 후 변경된 바탕화면 및 랜섬노트

토토 커뮤니티노트에는 토토 커뮤니티머니를 지불하지 않으면 탈취한 데이터들을 다크넷 사이트에 공개한다고 협박하고 있으며, 토토 커뮤니티노트에 기재된 주소로 접속을 하면암호화된 파일 일부를 복호화 할 수 있는 페이지와 실제 LockBit 3.0이 탈취한 데이터을 판매하는 페이지를 확인할 수 있어 사용자의 불안감을 유발하고 토토 커뮤니티머니를 지불하도록 유도합니다.

​​

[그림 3] 공격자가 운영중인 페이지

사용자 여러분들께서는 출처가 불분명한 사용자에게서 온 이메일 내 첨부파일 열람을 지양하시고, 수상한 파일 실행 전 반드시 확장자를 확인하셔야 합니다. 또한 중요 파일에 대해서는 주기적으로 백업을 진행하여 토토 커뮤니티에 감염되었을 때 피해를 최소화 할 수 있도록 노력해야 합니다.

현재 알약에서는 해당 토토 커뮤니티에 대해 Trojan.Ransom.LockBit로 탐지중에며, 유포 상황에 대해서도 지속적인 모니터링을 진행중에 있습니다.

​