✅ 보고서 제목: AiLock 랜섬웨어 상세 분석

✅ 보고서 요약:

- AiLock 랜섬웨어 그룹은 2025년 3월 처음 식별되었으며, 피해 기업과의 협상은 전용 협상 사이트를 통해 진행하고, 탈취 데이터를 Leak 사이트에 공개하겠다고 위협하는 전형적인 RaaS(Ransomware-as-a-Service) 운영 방식을 따릅니다.

- 해당 랜섬웨어는 C/C++로 작성되었으며, 암호화된 파일에는 `.AiLock` 확장자가 추가되고, 각 암호화 디렉토리에는 `Readme.txt` 랜섬노트가 생성됩니다.

- 암호화 작업은 IOCP(I/O Completion Port) 기반으로 수행되며, 파일 탐색용 스레드(Path Traversal Thread)와 암호화 스레드(Encryption Thread) 두 개를 생성해 대상 파일을 식별하고 암호화를 진행합니다.

- 암호화에는 ChaCha20과 NTRUEncrypt 알고리즘이 결합되어 사용되며, 파일 크기에 따라 암호화 방식이 유동적으로 적용됩니다.

- AiLock 랜섬웨어는 2025년 3월, 보안 기업 Zscaler가 해당 그룹의 랜섬노트를 공개하며 처음으로 존재가 확인되었습니다. 이 그룹은 전용 협상 사이트를 통해 피해 기업과의 협상을 유도하는 방식을 취하고 있습니다.

- 2025년 4월 10일 기준 확인된 피해 기업은 2곳이며, 향후 추가 피해 사례가 Data Leak Site(DLS)를 통해 지속적으로 공개될 가능성이 있습니다.

- AiLock 랜섬웨어 그룹은 협상 사이트와 파일 공유 경로를 지속적으로 변경하고 있으며, 기존에 식별되지 않았던 신규 Leak 사이트도 확인된 바 있어 향후 지속적인 활동이 예상됩니다.

- 이에 따라, 해당 그룹에 대한 탐지 규칙 적용과 관련 인프라에 대한 상시 모니터링 체계를 유지하는 것이 필요합니다.

🧑‍💻 보고서 작성자: S2W TALON

👉 보고서 전문 보기: https://bit.ly/4lGGLc4

*해당 보고서는 별도 문의 가능하며, S2W의 플랫폼 구독 시 전문으로 제공됩니다.