새롭게 발견된 랜섬웨어 그룹 하나가 공격의 수위를 높이고 있다. 이름은 RA그룹(RA Group)이라고 하며, 얼마 전 소스코드가 유출된 바북(Babuk) 랜섬웨어를 자신들만의 것으로 개조해 미국과 한국의 조직들을 공략하는 중이다.
시스코의 탈로스 팀이 분석해 발표한 바에 의하면 이 RA그룹은 4월 22일부터 활동을 시작했으며, 지금까지 빠르게 활동 규모를 넓히는 중이라고 한다. 주로 한국과 미국의 제조사, 자산 관리사, 보험사, 제약사가 표적인 것으로 보인다고 탈로스 팀은 경고했다.
RA그룹에 대해 이야기를 하려면 먼저 바북에 대해 알아야 한다. 바북은 일종의 랜섬웨어로 2021년 9월 소스코드 전부가 온라인에 유출된 바 있다. 그 후 여러 공격 단체들이 이 소스코드를 바탕으로 자신들만의 독창적인 ‘바북 공격’을 시작했다. 일부는 기업들 사이에서 널리 사용되는 VM웨어 ESXi 하이퍼바이저를 공략할 때 바북을 활용하기도 했었다. 현재까지 10개가 넘는 바북 변종들이 출현해 왔다.
출처: https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=1&seq=33540&key=&dir_group_dist=&dir_code=&searchDate=
느낀 점: 이번 뉴스를 통해서 바북이라는 랜섬웨어와 RA그룹이라는 미국과 한국을 표적으로 하는 해킹 그룹을 알게되었다. RA그룹은 바북이라는 랜섬웨어를 이용해 소스 코드를 개조해 자신들만의 랜섬웨어를 만들어 공격하고 피해자들에게 단 3일의 기한만을 주어 심리적 압박감을 더한다고 한다. 또한 RA그룹이 운영하는 정보 유출용 웹 사이트에는 피해 조직의 이름, 확보한 데이터 목록과 용량, 공식 URL을 공개하고 유출용 웹 사이트에서 해당 데이터를 판매한다고 한다. 개인적인 생각으로 3일간의 짧은 기한을 주고 피해 조직이 볼 수 있는 웹 사이트에서 해당 데이터를 판매하는 것은 피해 조직에게 엄청난 압박감을 가져올 수 있을 것 같고, 이러한 압박을 통해 공격하는 방법을 다른 해킹 그룹들도 많이 이용할 것 같다. 피해를 최소화 하기 위해 사용하고 있는 모든 소프트웨어와 OS를 최신화해야 할 필요가 있다고 생각한다.
'보안뉴스' 카테고리의 다른 글
| 네이버·카카오 등 사칭 ‘해킹메일 전송’, 전체 북한 해킹수법의 74% (01-06 12주차) (0) | 2023.06.01 |
|---|---|
| 강력해진 BEC 공격자들, MS의 ‘불가능한 이동’ 경고도 속인다 (25-05 11주차) (0) | 2023.05.25 |
| 중국 해킹그룹, 국내 반도체 및 스마트 제조기업 정보 탈취 공격 감행 (11-05 9주차) (0) | 2023.05.11 |
| 챗GPT 프롬프트 통한 민감 정보 유출 막기 위해 등장한 프라이빗GPT (05-05 8주차) (0) | 2023.05.05 |
| 수억 개의 아티팩트가 설정 잘못된 레지스트리 통해 노출되어 있다(25-04 7주차) (0) | 2023.04.26 |