2024년 6월 한 중견 제조기업의 윈도우 서버가 비트락커(BitLocker)를 악용한 랜섬웨어에 감염됐습니다. 해커는 사내 직원의 개인 PC를 먼저 해킹한 뒤 RDP 원격 접속을 악용해 ERP 서버에 침투했고, 6개 물리 디스크가 RAID로 구성된 C·D 드라이브 중 D 드라이브 전체를 암호화했습니다. 이로 인해 ERP 데이터 접근이 차단되며 업무가 마비됐고 데이터 유출 가능성도 제기됐습니다.
BaileyTech의 디지털 포렌식 분석 결과, 6월 11일 오후 1시 24분경 외부 서버에서 PowerShell 명령으로 악성 스크립트가 다운로드되어 특정 경로에 저장됐고, 오후 3시 17분경 공격 실행 파일이 구동된 것으로 확인됐습니다. 해커는 평소 닫혀 있다가 배포 캠페인 시점에만 여는 방식으로 유포 사이트를 운영했으며, 비트락커 복구키 생성 과정과 원격제어 접속 IP까지 타임라인 기반으로 추적했습니다.
BaileyTech는 모든 감염 사례를 포렌식으로 분석해 비트락커 복구키를 찾아 신속히 업무를 정상화하며, 복구키 확보가 어려운 경우 디스크 포렌식으로 MDF·BAK 파일을 복원하는 방식을 함께 제공합니다. 분석 리포트는 일반 사용자용 간략본과 전문가용 상세본으로 구분되며, 상세본에는 재감염 방지 조치 매뉴얼이 포함됩니다.
대응 관점에서 BaileyTech는 좀비 PC로 악용된 단말의 로그를 직접 수집·분석해 백신 우회 경로를 규명할 것을 권고합니다. 또한 랜섬웨어가 취약한 엔드포인트 PC를 경유해 서버를 공격한다는 점을 강조하며, 사내 보안 정책 강화와 외부 유출 경로를 하드웨어 레벨에서 차단하는 백업 보호를 재발 방지책으로 제시합니다.
