최근 악명 높은 락빗(LockBit) 랜섬웨어 갱단이 2024년 4월에 발생한 캐나다의 주요 약국 체인인 런던 드럭스(London Drugs)에 대한 사이버 공격이 자신들 소행이라고 밝혔다. 이 공격으로 인해 서부 캐나다 전역에 걸쳐 모든 소매점이 일시적으로 폐쇄되었으며, 현재 락빗은 몸값 협상에 실패하자 회사 시스템에서 유출한 것으로 추정되는 데이터를 공개하겠다고 위협하고 있다.

지난 4월 28일, 런던 드럭스는 심각한 사이버 공격을 받아 알버타, 사스카츄언, 매니토바, 브리티시 컬럼비아에 걸쳐 있는 80개 이상의 매장이 폐쇄되었다. 회사는 사이버 보안 전문가의 도움을 받아 조사를 시작했다.

런던 드럭스는 "조사 결과 개인 정보가 유출된 것으로 확인되면 해당 당사자와 관련 프라이버시 위원회에 이를 알릴 것"이라고 밝혔다.

5월 9일, 런던 드럭스 사장 겸 최고 운영 책임자는 포렌식 조사에서 고객 데이터베이스, 건강 데이터 및 LDExtras 데이터가 손상되지 않았다는 추가 증거를 확인했다고 재차 강조했다. 그럼에도 불구하고 회사 웹사이트는 여전히 오류 메시지를 표시하며 접속이 불가능한 상태이다.

21일, 락빗 랜섬웨어 운영진은  런던 드럭스를 자신들이 해킹한 사이트 리스트에 공식 추가했다. 이 갱단은 4월 사이버 공격의 책임을 주장하며 회사의 서버에서 도난당한 데이터를 공개하겠다고 위협했다. 락빗은 2천 5백만 달러의 랜섬머니를 요구했지만 협상에 실패했다고 밝혔다.

락빗은 도난된 파일에 대한 증거를 제공하지 않았지만, 일부 데이터가 민감한 직원 정보를 포함하고 있다고 주장했다. 이에 런던 드럭스는 이러한 주장에 대해 알고 있으며, 직원 데이터가 유출될 가능성을 인정했다. 그들은 몸값을 지불하지 않겠다는 입장을 재확인하며, 잠재적인 피해를 줄이기 위해 적극적인 조치를 취하고 있다고 밝혔다.

회사 측은 "만일의 경우를 대비해 모든 현재 직원에게 해당 사실을 통지하고, 데이터가 실제로 유출되었는지 여부와 관계없이 24개월간 무료 신용 모니터링 및 신원 도용 보호 서비스를 제공할 것"이라고 말했다.

락빗은 랜섬웨어-서비스(RaaS) 모델로 운영되며, 2019년 9월 ABCD라는 이름으로 처음 등장한 이후 현재의 이름으로 변경되었다. 그 이후로 보잉, 콘티넨탈 자동차, 이탈리아 국세청, 뱅크 오브 아메리카, 영국 로열 메일 등 전 세계의 많은 대형 조직을 대상으로 수많은 랜섬웨어 공격을 자행해 왔다.

한편 2024년 2월, 국제 법 집행 기관의 작전명 '크로노스'로 락빗의 인프라가 해체되었으며, 34개의 서버와 2,500개 이상의 복호화 키가 압수되었다. 이 작전으로 인해 무료 럭빗 3.0 블랙 랜섬웨어 복호화툴이 만들어졌다. 그럼에도 불구하고 락빗은 여전히 활동 중이며, 새로운 서버와 다크웹으로 이동하여 전 세계 조직을 계속 공격하고 있다.

최근 락빗 운영자인 'LockBitSupp'이라는 닉을 사용하는 31세 러시아 국적의 드미트리 유리예비치 코로셰프가 공개되면서 랜섬웨어 그룹과의 싸움에서 중요한 진전이 이루어졌다. 미국 국무부는 락빗 지도부의 체포나 유죄 판결로 이어질 수 있는 정보에 대해 1천만 달러의 보상금을, 락빗 관련자의 체포로 이어질 수 있는 정보에 대해 추가로 5백만 달러의 보상금을 걸었다.