보안동향
최신 보안정보를 신속하게 전해드립니다.
[해외동향] 새로운 랜섬웨어 조직 RA Group, 한·미 기업 공격
2023-05-16□ 개요
새롭게 확인된 랜섬웨어 조직 ‘RA Group’이 한국과 미국의 제약, 보험, 자산 관리 및 제조 회사를 대상으로 랜섬웨어 공격을 수행한 것으로 밝혀졌다.
[그림 1] RA Group 데이터 유출 사이트
4월 28일에 업로드된 게시글에는 한국 기업의 유출 데이터가 포함되어 있었으며, 1.4TB 크기의 데이터가 유출되었다고 밝혔다.
[그림 2] 왼: 데이터 유출 게시글 中 일부, 오: 유출 샘플 데이터 中 일부
□ RA Group 정보
RA Group은 2023년 4월 22일에 다크웹에 데이터 유출 사이트를 개설하였고 4월 27일에는 ▲피해 기업의 세부 정보 ▲유출 데이터 샘플 파일 ▲유출 데이터의 콘텐츠 유형 ▲유출 데이터에 대한 링크 등을 작성한 첫 번째 게시글을 업로드하였다. 또한 공격 그룹은 대부분의 랜섬웨어 그룹이 사용하는 ‘이중 갈취’ 전술을 사용하여 금전을 요구하였다.
RA Group의 공격 특징은 공격 대상 조직마다 개별적으로 작성된 랜섬 노트를 사용하며, 실행 파일도 피해 기업의 이름을 따서 명명된다.
랜섬웨어는 피해자의 컴퓨터 및 네트워크 공유에 있는 전체 논리 드라이브를 대상으로 감염시키며 ▲Windows 시스템 ▲부팅 ▲프로그램 파일 등과 관련된 폴더를 제외한 파일을 암호화한다. 이는 랜섬웨어 그룹이 몸값을 받아내기 위해 컴퓨터 실행에 필요한 최소한의 파일만 암호화하지 않음을 보여준다.
데이터 암호화 방식은 curve25519, eSTREAM 그리고 hc-128 알고리즘을 사용하며 간헐적 암호화를 수행한다. 이 방식은 파일의 암호화 속도를 높이지만 파일에서 일부 데이터를 부분적으로 복구할 수 있는 특징이 있다.
Cisco Talos의 분석 보고서에 의하면, RA Group은 2021년 운영이 종료된 ‘Babuk’ 랜섬웨어 그룹의 유출 소스 코드를 기반으로 파일 암호화를 수행한다고 설명했다.
랜섬웨어에 의해 암호화된 파일의 확장자에는 ‘.GAGUP’이 추가되며 ‘How To Restore Your Files.txt’ 파일명의 랜섬노트가 생성된다. 랜섬노트에는 공격 그룹과 대화할 수 있는 ▲메신저(qTox) ID ▲유출 데이터 목록 ▲샘플 파일 다운로드 주소 ▲RA Group의 데이터 유출 사이트 등이 적혀있다.
[그림 3] RA Group 랜섬노트
(출처 : Cisco)
데이터 복원을 방지하기 위해 모든 볼륨 섀도 복사본과 휴지통 내용은 삭제가 되지만 시스템을 침해하고 네트워크에서 측면으로 확산하는 방식으로 감염이 진행되는지는 현재까지 불분명하다.
RA Group과 같은 새로운 랜섬웨어 그룹들이 파생되어 생겨나는 데에 Tanium의 최고 보안 고문인 Timothy Morris는 다음과 같이 말했다.
“조직이 강력한 취약성 프로그램을 보유하고 자주 패치하는 것이 중요합니다. 자신의 환경과 공격자에게 자신의 환경이 어떻게 노출되는지 파악하세요. 그리고 IOC와 공격을 지속적으로 모니터링하는 EDR 및 네트워크 검사 도구를 최신 상태로 유지하십시오.”
□ 참고 자료
[1] Newly identified RA Group compromises companies in U.S. and South Korea with leaked Babuk source code
https://blog.talosintelligence.com/ra-group-ransomware/
[2] New RA Group ransomware targets U.S. orgs in double-extortion attacks
[3] New Ransomware Gang RA Group Hits U.S. and South Korean Organizations
https://thehackernews.com/2023/05/new-ransomware-gang-ra-group-hits-us.html
[4] RA Group uses leaked Babuk code to attack companies in the US, South Korea
보안관제센터 MIR Team