• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

새롭게 등장한 RA그룹, 바북 소스코드 개조해 활동 수위 높이는 중 2023.05.16

랜섬웨어 그룹이 새로 등장했다. 이름은 RA그룹으로, 이미 예전부터 유명한 바북 랜섬웨어의 소스코드를 공격에 사용하고 있다. 피해자들을 심리적으로 바짝 조이고 있다는 특징도 가지고 있다.

[보안뉴스 문정후 기자] 새롭게 발견된 랜섬웨어 그룹 하나가 공격의 수위를 높이고 있다. 이름은 RA그룹(RA Group)이라고 하며, 얼마 전 소스코드가 유출된 바북(Babuk) 랜섬웨어를 자신들만의 것으로 개조해 미국과 한국의 조직들을 공략하는 중이다.

[이미지 = gettyimagesbank]


시스코의 탈로스 팀이 분석해 발표한 바에 의하면 이 RA그룹은 4월 22일부터 활동을 시작했으며, 지금까지 빠르게 활동 규모를 넓히는 중이라고 한다. 주로 한국과 미국의 제조사, 자산 관리사, 보험사, 제약사가 표적인 것으로 보인다고 탈로스 팀은 경고했다.

RA그룹에 대해 이야기를 하려면 먼저 바북에 대해 알아야 한다. 바북은 일종의 랜섬웨어로 2021년 9월 소스코드 전부가 온라인에 유출된 바 있다. 그 후 여러 공격 단체들이 이 소스코드를 바탕으로 자신들만의 독창적인 ‘바북 공격’을 시작했다. 일부는 기업들 사이에서 널리 사용되는 VM웨어 ESXi 하이퍼바이저를 공략할 때 바북을 활용하기도 했었다. 현재까지 10개가 넘는 바북 변종들이 출현해 왔다.

바북이 유명 취약점들을 익스플로잇 하도록 설계되었다는 점을 적극 활용하는 공격자들도 있다. 실제로 바북은 MS 익스체인지, 스트러츠(Struts), 워드프레스, 아틀라시안 컨플루언스(Atlassian Confluence), 오라클 웹로직 서버(Oracle WebLogic Server), 솔라윈즈 오리온(SolarWinds Orion), 라이프레이(Liferay) 등 유명 솔루션들을 익스플로잇 하는 기능을 가지고 있다.

보안 업체 노비포(KnowBe4)의 보안 전문가 에릭 크론(Erich Kron)은 “특정 멀웨어의 소스코드가 유출됐다거나 특정 취약점의 익스플로잇이 공개되었다는 건 공격자들에게 엄청난 희소식”이라고 말한다. “공격자들이 가장 신경 쓰는 건 가성비입니다. 최소한의 투자로 최대한의 결과를 얻어내려고 하죠. 소스코드를 얻으면 개발에 들어가는 자원을 크게 아낄 수 있게 된다는 뜻입니다. 처음부터 소스코드를 개발하는 것과, 이미 보유한 소스코드에 약간의 커스터마이징을 한다는 것은 완전히 다른 일입니다.”

유출된 소스코드는 사이버 공격을 실행하는 데 있어 기술적 장벽을 낮춰주기도 한다. “지난 한 해 우리는 ‘서비스형 랜섬웨어(RaaS)’ 산업을 통해 기술력 없는 범죄자들도 얼마든지 랜섬웨어 공격을 할 수 있다는 걸 알게 되었습니다. ‘해커 = 컴퓨터 실력이 뛰어난 사람’의 공식은 오래 전에 옛것이 되었습니다. 공격자들 사이에서도 당연히 그렇습니다. 그러면서 다른 사람의 코드를 가져다 쓴다는 행위 자체도 자연스럽게 자리를 잡았습니다.”

RA그룹의 독특한 바북 사용법
RA그룹은 ‘이중 협박’ 전략을 사용한다는 점에서 기존 랜섬웨어 그룹들과 크게 다르지 않은 모습을 보여준다. 다만 RA그룹은 피해자들에게 단 3일의 기한만을 준다는 점에서 조금 차이를 둔다. 심리적 압박감을 강화하겠다는 것이 이들의 전략인 것으로 보인다.

“게다가 이들이 운영하는 정보 유출용 웹사이트를 보면, RA그룹이 피해 조직의 이름, 자신들이 확보한 데이터의 목록과 용량, 피해 조직의 공식 URL을 공개하고 있다는 걸 알 수 있습니다. 여기까지는 일반 랜섬웨어 조직들과 크게 다르지 않습니다. 하지만 이 정보 유출용 웹사이트에서 직접 해당 데이터를 판매하기도 합니다. 피해자들이 보는 앞에서 피해자들의 데이터를 거래하는 것이죠. 이 역시 거대한 심리적 압박으로 다가갈 것이 뻔합니다.”

하지만 이러한 ‘압박 전술’이 어느 정도로 효과를 거둘지는 아직 미지수다. 이들의 활동 기간이 충분히 길지 않아 전술에 대한 효과를 입증할 수 없었다. 만약 좋은 효과를 가지고 있음이 증명된다면 앞으로 더 많은 공격자들이 이를 흉내 낼 수 있을 것으로 보인다. 더 강력한 압박으로 피해자들을 옥죄는 게 유행할 수 있다는 뜻이다.

RA그룹의 공격을 막으려면 보안의 기본 실천 사항을 제대로 지키는 것이 중요하다. “바북은 취약점 익스플로잇을 주로 하는 랜섬웨어입니다. 그러므로 사용하고 있는 모든 소프트웨어와 OS를 최신화 하는 것이 중요합니다. 또한 네트워크 트래픽 현황을 꾸준히 모니터링해서 악성 행위를 빠르게 적발하는 것도 중요합니다. 백업과 복구 절차를 미리 마련하는 것도 랜섬웨어를 방어하는 데 필수적이죠.”

3줄 요약
1. 소스코드 유출된 바북 랜섬웨어를 들고 나타난 새로운 랜섬웨어 단체, RA그룹.
2. 기존 랜섬웨어 공격자들과 비슷하나 심리적 압박감을 더 강하게 주는 편.
3. 현재까지는 미국과 한국의 기업 및 조직들이 피해를 입고 있음.
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>