0xNews - 한국과 미국에 대한 공격을 수행하는, 랜섬웨어 Gang 이라 불리는 RA Group 발견

Cisco Talos 발표

RA Group 으로 알려진 새로운 랜섬웨어 그룹 발견

여기서 유출된 Babuk 랜섬웨어 소스 코드를 활용하여 자체 로커 변종을 생성

2023년 4월 22일 발견 이후 파악되며 빠르게 공격을 확장 중

이 그룹은 제조, 자산관리, 보험사, 제약 등 여러 비즈니스 분야에 걸쳐 미국에 있는 3개 조직과 한국에 있는 1개 조직을 해킹

RA Group은 이중 갈취 공격을 시작하고 날짜 유출 사이트를 운영

피해자에게 몸값을 지불하도록 추가 압력을 가한다는 점에서 다른 랜섬웨어 공격자와 다르지 않음

윈도우 기반 바이너리는 간헐적 암호화를 사용

프로세스 속도를 높이고 탐지를 피하며 볼륨 쉐도우 복사본과 시스템 휴지통의 내용을 삭제

RA Group은 피해자의 이름과 유출 증거를 다운로드할 수 있는 고유한 링크가 포함된 맞춤형 랜섬 노트를 사용

피해자가 3일 이내 연락이 되지 않으면 공격자는 피해자의 파일을 유출

또한 피해자가 qTox 채팅 애플리케이션을 다운로드하고 랜섬 노트에 제공된 qTox ID를 사용

운영자에게 연락할 수 있도록 하드코딩된 목록을 통해 시스템 파일 및 폴더 암호화를 방지하도록 조치 실행

다른 랜섬웨어 작업과 차별화되는 점은 공격자가 보안 TOR 사이트에서 정보를 호스팅하여 유출 포털에서 피해자의 유출 데이터를 판매하는 것도 관찰

공격자들이 ESXi나 리눅스 랜섬웨어를 개발하기 위해 Babuk 빌더를 점점 더 많이 사용하기에 보안 회사에서 자주 눈에 띄고 있는 추세

이러한 공격자는 Babuk 소스코드를 크게 수정할 가능성이 적기 때문에 리소스가 적은 공격자가 사용할 때 특히 효과적임

지난 1년 동안 Babuk 소스코드를 채택한 다른 랜섬웨어 공격자는 AstraLocker, Nokoyawa를 포함

다른 랜섬웨어 변종인 Cheerscrypt는 Rook, NightSky, Pandora와 같은 단기 랜섬웨어 계획을 운영하는 것으로 알려진 Emperor Dragonfly 라는 중국 스파이 활동가와 연결

새로운 랜섬웨어 변종의 끊임없는 진화와 출시는 공격자의 고급 기술과 민첩성을 강조

사이버 보안 조치나 점검에 대응하고 그에 따라 랜섬웨어를 맞춤화하고 있음을 확인할 수 있음

openLab