PlayBoy Locker Ransomware Targets Windows, NAS, and ESXi Systems
- 공격 개요
- PlayBoy LOCKER는 2024년 9월 등장한 Ransomware-as-a-Service(RaaS) 기반 랜섬웨어로, 이후 11월 전체 소스코드가 유출되며 다른 공격자도 손쉽게 활용 가능한 상황으로 확산
- Windows, NAS(Network-Attached Storage), VMware ESXi 시스템을 모두 감염시킬 수 있는 다중 운영체제 타깃형 랜섬웨어
- 감염 및 행위 방식
- 파일 암호화 후 “.PLBOY” 확장자 부여
- 복구 방해를 위해 볼륨 섀도우 복사본(Volume Shadow Copies) 삭제
- 사용자에게 INSTRUCTIONS.txt 파일과 변경된 바탕화면 배경화면을 통해 협박 메시지 전달
- 주요 메시지는 지불하지 않으면 정보 유출 또는 영구 손상 경고
- 탐지 및 대응 정보
- Broadcom-Symantec의 탐지 서명
- Trojan.Gen.MBT, Heur.AdvML.A!300, ACM.Untrst-RunSys!g1 등 머신러닝 기반 탐지 방식 포함
- VMware Carbon Black 제품군도 관련 IOCs 차단 및 정책 기반 실행 방지 기능 제공
- Broadcom-Symantec의 탐지 서명
- 확산 경로 및 감염 벡터
- 악성 이메일 첨부파일, 불법 소프트웨어 다운로드, 익스플로잇 키트를 통한 감염
- 초기 공격은 독일 내 시스템을 대상으로 시작되었으나, 향후 고가치 목표로 확장 가능성 존재
- 복구 및 대응 제한점
- 현재까지 공개된 복호화 도구 없음, 피해자는 백업 복원 또는 금전 지불 외 대안 없음
- 오프라인 백업 전략이 유일한 복구 방안으로 강조됨
- 보안 권고
- 이메일 첨부파일에 대한 정교한 필터링 및 첨부 실행 제한
- MS Office 등 문서 기반 악성코드 실행 방지를 위한 매크로 비활성화 정책 적용
- 정기적 오프라인 백업, 백업 무결성 확인 및 테스트 수행
- NAS 및 ESXi 등 비Windows 자산에 대한 전용 보안 정책 별도 수립 필요
- RaaS 형태로 유포되므로 초기 유포자 외 제3 공격자 확대 가능성 염두
- 결론
- PlayBoy LOCKER는 단일 운영체제에 국한되지 않는 범용 감염 능력을 갖춘 신종 RaaS로 분류됨
- 소스코드 공개로 인해 중소 공격자까지 활용 가능한 위협 증가
- 다중 OS를 보호할 수 있는 통합 탐지 및 방어 체계(SIEM, XDR, EDR 연계) 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| DeepSeek 사용자 노린 가짜 Google 광고 기반 악성코드 유포 캠페인 분석 (0) | 2025.05.08 |
|---|---|
| Vroom by YouX, AWS S3 설정 오류로 2.7만 건 개인정보 유출 (0) | 2025.05.08 |
| APT36, 인도 우편청 사칭 웹사이트 통해 Windows 및 Android 사용자 감염 시도 (0) | 2025.05.08 |
| FamousSparrow APT 그룹, 호텔 및 엔지니어링 기업 대상 커스텀 백도어 캠페인 재개 (0) | 2025.05.08 |
| 15만 개 웹사이트 감염…중국계 도박 플랫폼 홍보 자바스크립트 공격 캠페인 분석 (1) | 2025.05.08 |