✅ 보고서 제목: 위협 그룹 프로파일링: 록빗(LockBit) 5.0

✅ 보고서 요약:

- LockBit 랜섬웨어 그룹은 2019년 9월 ABCD 랜섬웨어라는 이름으로 활동을 시작한 이후, 2025년 9월 LockBit 5.0으로 업데이트하며 공격 활동을 재개했습니다.

- LockBit 4.0 암호화 로직과 분석 방해 기능이 대비 대폭 강화된 것이 특징입니다.

📌 록빗(LockBit) 그룹은 어떤 조직인가요?

- LockBit 랜섬웨어 그룹은 2019년 9월 ABCD 랜섬웨어라는 이름으로 독자적인 활동을 시작하였으며, 2025년 9월 LockBit 5.0으로 업데이트되었습니다.

- 록빗(LockBit) 4.0에 대한 내용은 해당 링크에서 확인할 수 있습니다: https://bit.ly/3NruvQW

📌 딥다크웹(DDW) 활동 이력

- LockBit 5.0으로 업데이트되면서 2025년 5월 이후 DLS(Data Leak Site) 상에서 LockBit의 활동은 관찰되지 않았습니다.

- 이후 2025년 9월 LockBit 5.0을 출시하면서 Affiliate 가입 비용을 500달러로 변경하여 진입 장벽을 대폭 낮추었습니다.

- 재정비 기간이 종료된 이후 2025년 12월에 활동을 재개하였으며, XSS, RAMP 포럼 상에서도 활동을 재개하려는 움직임이 관찰되었습니다.

📌 LockBit 5.0 랜섬웨어 상세 분석

- LockBit 5.0 랜섬웨어는 ChoungDong 버전으로도 불립니다.

- 해당 랜섬웨어는 Loader와 Ransomware 부분으로 구성되어 있습니다.

  - Loader는 Ransomware 페이로드를 XOR 및 LZ 압축을 통해 복호화한 뒤 메모리 상에서 실행합니다.

  - Ransomware는 파일 크기 80MB를 기준으로 암호화 방식이 달라지며, ChaCha20과 Curve25519 알고리즘을 통해 파일을 암호화합니다.

📌 LockBit 4.0 대비 LockBit 5.0 주요 차이점

- LockBit 4.0에서 5.0으로 업데이트되면서 분석 방해 기능과 공격 효율성이 대폭 강화되었습니다.

- Mutex, Execution Delay, Status Bar, Delete TEMP, Wiper 등 다수의 신규 기능이 추가되었습니다.

- 볼륨 섀도 복사본 삭제 방식은 기존 Conti 기반 모듈에서 VSS API를 활용하는 방식으로 변경되었습니다.

- 파일 크기에 따라 암호화 방식을 차등 적용하며 암호화 효율을 높이는 등 핵심 기능에서 LockBit 4.0 대비 상당한 변화가 관찰되었습니다.

✅ 위협 탐지 권장 사항 및 조치 방안:

- 악성 파일 실행 차단 및 내부 침투 방지를 위해 프로세스 행위 분석과 이상 징후를 지속적으로 모니터링하고, 백신 소프트웨어 및 최신 보안 패치를 항상 적용하여 알려진 취약점을 통한 침입을 최소화해야 합니다.

- IoC, Detection Rule, MITRE ATT&CK 정보를 활용하여 사이버 공격 대응 및 보안 강화 방안을 수립하고, 침해 사고 발생 시 신속하게 대응할 수 있도록 대비합니다.

👉 보고서 전문 보기(영문): https://bit.ly/49uamlP

🧑‍💻 보고서 작성자: S2W TALON

*해당 보고서는 별도 문의 가능하며, S2W의 플랫폼 구독 시 전문으로 제공됩니다.