BaileyTech는 모든 랜섬웨어 감염 사고를 보안 관점의 디지털 포렌식으로 접근해, 비트락커(BitLocker)로 잠긴 시스템의 복구키를 찾아내 고객 업무가 신속히 정상화되도록 지원합니다. 복구키가 암호화되어 직접 복구가 불가능한 경우에는 디스크 포렌식으로 MDF·BAK 등 데이터베이스 파일을 복원하는 방식을 병행합니다. 기본 간략 리포트는 무료로, 본 사례 같은 상세 포렌식 리포트는 유료로 제공하며 재감염 방지 매뉴얼을 함께 전달합니다.
상세 포렌식 과정에서는 주로 pagefile.sys 등 메모리 흔적을 분석해 공격 전 과정을 재구성했습니다. 분석 결과 2024년 6월 18일 새벽 2시경 RDP를 통해 승인되지 않은 비트락커 암호화가 시작되며 공격이 개시된 것으로 확인됐습니다. 공격자는 PowerShell·Mimikatz·Metasploit·BloodHound 등 해킹 도구를 동원해 권한 상승과 자격증명 탈취, 지속 공격을 수행했고, 다수의 악성 URL로 추가 페이로드를 내려받거나 원격 서버와 통신을 시도했습니다.
또한 네트워크 모니터링 도구를 비활성화하려 했고, VBScript와 악성 DLL·실행 파일로 시스템 상주 메커니즘을 구축했습니다. 레지스트리 변조, SQL 트래픽 감시, 키로깅, Base64·16진수·XOR 난독화로 탐지를 회피하고 데이터 유출을 시도한 정황이 다수 식별됐습니다. 취약 드라이버를 악용한 흔적도 발견됐습니다.
결론적으로 이번 공격자는 지속적 접근 권한 확보, 민감 데이터 유출, 시스템 조작을 목표로 삼았으며, 타임스탬프 조작과 암호화로 포렌식 분석 자체를 방해하려 했습니다. BaileyTech는 정교한 공격의 재발을 막기 위해 디지털 포렌식을 통한 철저한 원인 분석이 필수임을 강조하며, ‘해킹을 막을 수 없다면 접속 경로 자체를 차단해야 한다’는 관점의 예방·대응을 제시합니다.
