체코 사이버 보안 소프트웨어 회사인 Avast는 바북(Babuk) 랜섬웨어 피해자가 파일을 무료로 복구할 수 있도록 지원하는 복호화 도구를 공개했습니다.

Avast Threat Labs은 2021년 9월 유출된 소스코드와 복호화 키를 사용해 Babuk 랜섬웨어 복호화 도구를 만들 수 있다고 설명했습니다.

Babuk 랜섬웨어에 걸린 사용자는 Avast 서버에서 복호화 도구를 다운로드한 후, 사용자 인터페이스에 표시된 지침에 따라 전체 파티션을 한 번에 복호화할 수 있습니다.

해당 복호화 도구는 .babuk, .babyk, .doydo 확장자를 사용하여 파일이 암호화된 Babuk 피해자만 사용할 수 있습니다.

[그림 1] Avast Babuk 복호화 도구

랜섬웨어 소스코드 및 복호화 키 유출

Babuk 랜섬웨어의 전체 소스코드는 지난 달 해당 랜섬웨어 그룹의 구성원이라고 주장하는 한 공격자가 러시아어 기반 해킹포럼에 게시해 유출되었습니다

그는 폐암 4기를 진단받으며 ‘인간처럼 살 수 있는 동안’ 소스코드를 공개하기로 결정했다고 밝혔습니다.

공유 압축파일에는 VMware ESXi, NAS, Windows 암호화 도구와 다양한 Visual Studio Babuk 랜섬웨어 프로젝트가 포함되어 있었으며 Windows 폴더에는 Windows 암호화 도구, 복호화 도구, 개인/공개 키 생성기로 보이는 전체 소스코드가 포함되어 있었습니다.

유출 후 Emsisoft CTO이자 랜섬웨어 전문가인 Fabian Wosar는 BleepingComputer에 해당 소스코드가 진짜이며 압축파일 내에 과거 피해자의 복호화 키가 포함되었을 수 있다고 밝혔습니다.

[그림 2] Babuk Windows 암호화 도구 소스코드

Babuk 랜섬웨어의 역사

Babyk 또는 Babuk으로도 알려진 Babuk 랜섬웨어는 데이터를 훔친 후 암호화하는 이중 갈취 공격을 목표로하며, 2021년 초에 시작되었습니다.

Babuk 랜섬웨어 조직은 올해 초 워싱턴 DC 메트로폴리탄 경찰국(MPD)을 공격했으나 미국 사법당국이 압박해오자 작전을 중단하기도 했습니다.

이후, 해당 조직의 'Admin'은 훔친 MPD 데이터를 온라인에 공개하여 홍보하려고 했으나 다른 구성원들은 반대한 것으로 알려졌습니다.

해당 조직의 원래 관리자인 'Orange'는 Ramp 해킹 포럼을 시작했고, 다른 관리자는 Babuk V2라는 이름으로 랜섬웨어 운영을 다시 시작하여 공격을 지속해 왔습니다.

Ramp 해킹 포럼이 시작된 후, DDoS 공격으로 한동안 사이트를 사용할 수 없게 되자 Ramp 해킹 포럼 관리자는 이전 파트너를 비판했지만, Babuk V2 팀은 BleepingComputer에 우리는 공격의 배후에 있지 않다고 말했습니다.

한편, 8월 새롭게 등장한 랜섬웨어 그룹 그루브(Groove)의 대변인 ‘SongBird’는 전직 Babuk 랜섬웨어 그룹의 멤버인 것으로 추측되며 Ramp 해킹 포럼의 관리자기도 합니다.

Groove는 지난달 Fortinet VPN 크리덴셜 약 50만 건을 포함한 목록을 유출한 바 있습니다.

[출처]
https://www.avast.com/ransomware-decryption-tools#babuk

https://www.bleepingcomputer.com/news/security/babuk-ransomware-decryptor-released-to-recover-files-for-free/

보안관제센터 Team MIR