Embedded Files
바북이라는 랜섬웨어 운영자들이 최근 유명세를 타기 시작했다. 이들은 이 기회를 노려 사업을 확장하려고 했다. 그런데 방해꾼이 나타났다. 바북의 새로운 웹사이트를 도배하면서 돈을 요구하기 시작했다.
바북이라는 랜섬웨어 운영자들이 최근 유명세를 타기 시작했다. 이들은 이 기회를 노려 사업을 확장하려고 했다. 그런데 방해꾼이 나타났다. 바북의 새로운 웹사이트를 도배하면서 돈을 요구하기 시작했다.
[보안뉴스 문가용 기자] 악명 높은 랜섬웨어 갱단인 바북(Babuk)이 일종의 사이버 공격에 당하는 중이다. 누군가 바북의 새 웹사이트를 악성 이미지로 채워 놓고 사업을 방해하면서 대가를 요구하고 있다고 한다. 협박으로 벌어먹는 자들이, 협박에 당하고 있는 우스꽝스러운 상황에 대하여 보안 업체 레코디드 퓨처(Recorded Future)가 발표했다.
[보안뉴스 문가용 기자] 악명 높은 랜섬웨어 갱단인 바북(Babuk)이 일종의 사이버 공격에 당하는 중이다. 누군가 바북의 새 웹사이트를 악성 이미지로 채워 놓고 사업을 방해하면서 대가를 요구하고 있다고 한다. 협박으로 벌어먹는 자들이, 협박에 당하고 있는 우스꽝스러운 상황에 대하여 보안 업체 레코디드 퓨처(Recorded Future)가 발표했다.
[이미지 = utoimage]
바북은 최근 다크웹에 램프(RAMP)라는 이름의 랜섬웨어 포럼을 새롭게 런칭했다. 하지만 이 포럼을 아직도 제대로 사용하고 있지 못하다. 왜냐하면 누군가 이 사이트에 외설스럽고 변태적인 GIF 이미지를 계속해서 업로드하면서 이른 바 ‘도배’를 하고 있기 때문이다.
바북은 최근 다크웹에 램프(RAMP)라는 이름의 랜섬웨어 포럼을 새롭게 런칭했다. 하지만 이 포럼을 아직도 제대로 사용하고 있지 못하다. 왜냐하면 누군가 이 사이트에 외설스럽고 변태적인 GIF 이미지를 계속해서 업로드하면서 이른 바 ‘도배’를 하고 있기 때문이다.
그러면서 공격자는 바북에 5천 달러를 요구했다. 바북은 이를 거절하며 포럼을 깨끗하게 청소했지만, 공격자는 기다렸다는 듯이 새로운 이미지들로 도배를 시작했다. 한 보안 전문가는 “랜섬웨어 공격자가 랜섬 공격을 당하는 상황”이라고 이를 묘사하며 “랜섬웨어 공격자들끼리 드라마를 찍고 있다”고 트위터를 통해 조롱했다.
그러면서 공격자는 바북에 5천 달러를 요구했다. 바북은 이를 거절하며 포럼을 깨끗하게 청소했지만, 공격자는 기다렸다는 듯이 새로운 이미지들로 도배를 시작했다. 한 보안 전문가는 “랜섬웨어 공격자가 랜섬 공격을 당하는 상황”이라고 이를 묘사하며 “랜섬웨어 공격자들끼리 드라마를 찍고 있다”고 트위터를 통해 조롱했다.
레코디드 퓨처에 의하면 바북 갱단은 최근 바쁜 시간을 보냈다고 한다. 바북은 지난 4월 미국 워싱턴 경찰국을 감염시켜 협박을 한 것으로 유명해졌는데, 이 사건이 지나고 얼마 지나지 않아 ‘은퇴’를 언급하며 사이버 범죄자들에게 작별을 고했다. 그러나 5월, 은퇴는커녕 워싱턴 경찰국의 데이터를 슬금슬금 공개하며 협박의 수위를 높였다. 이 사건은 아직 진행 중인 것으로 알려져 있다.
레코디드 퓨처에 의하면 바북 갱단은 최근 바쁜 시간을 보냈다고 한다. 바북은 지난 4월 미국 워싱턴 경찰국을 감염시켜 협박을 한 것으로 유명해졌는데, 이 사건이 지나고 얼마 지나지 않아 ‘은퇴’를 언급하며 사이버 범죄자들에게 작별을 고했다. 그러나 5월, 은퇴는커녕 워싱턴 경찰국의 데이터를 슬금슬금 공개하며 협박의 수위를 높였다. 이 사건은 아직 진행 중인 것으로 알려져 있다.
그런 가운데 이번 달 초, 바북은 랜섬웨어 소스코드를 바이러스토탈(VirusTotal)에 업로드하면서 자신들의 정보 유출용 웹사이트 이름을 페이로드빈(Payload.bin)으로 변경했다. 전문가들은 바북이 유명세를 탄 뒤 ‘서비스형 랜섬웨어(RaaS)’ 사업을 시작한 것으로 보고 있다. 수익 구조의 안정화를 꾀한 것이다.
그런 가운데 이번 달 초, 바북은 랜섬웨어 소스코드를 바이러스토탈(VirusTotal)에 업로드하면서 자신들의 정보 유출용 웹사이트 이름을 페이로드빈(Payload.bin)으로 변경했다. 전문가들은 바북이 유명세를 탄 뒤 ‘서비스형 랜섬웨어(RaaS)’ 사업을 시작한 것으로 보고 있다. 수익 구조의 안정화를 꾀한 것이다.
그러다가 콜로니얼 파이프라인(Colonial Pipeline) 사태 이후 다크웹 해킹 포럼에서 랜섬웨어라는 주제가 금기시 되는 것을 보고 랜섬웨어를 전문으로 하는 커뮤니티를 새롭게 시작했다. 그것이 램프다. 랜섬웨어에 관심 있는 해커들을 다크웹에서 모아 사업을 확장하고자 했던 것으로 보인다. 랜섬웨어 산업에 붐을 일으키면서, 잠재 고객을 다수 확보할 수 있을 것으로 바북은 기대했을 것으로 전문가들은 예상하고 있다.
그러다가 콜로니얼 파이프라인(Colonial Pipeline) 사태 이후 다크웹 해킹 포럼에서 랜섬웨어라는 주제가 금기시 되는 것을 보고 랜섬웨어를 전문으로 하는 커뮤니티를 새롭게 시작했다. 그것이 램프다. 랜섬웨어에 관심 있는 해커들을 다크웹에서 모아 사업을 확장하고자 했던 것으로 보인다. 랜섬웨어 산업에 붐을 일으키면서, 잠재 고객을 다수 확보할 수 있을 것으로 바북은 기대했을 것으로 전문가들은 예상하고 있다.
그런 상황에서 스팸 공격자를 맞닥트리게 된 것인데, 이 사건이 바북에 어떤 영향을 줄지는 아직 확실히 예상하기가 힘들다. 이런 사례가 그리 많지 않기 때문이다. 하지만 사이버 공격자가 도리어 사이버 공격에 노출되었다는 것이 RaaS 사업을 하려는 자들에게 유리한 여론을 형성하는 데 도움이 될 것으로 보이지는 않는다.
그런 상황에서 스팸 공격자를 맞닥트리게 된 것인데, 이 사건이 바북에 어떤 영향을 줄지는 아직 확실히 예상하기가 힘들다. 이런 사례가 그리 많지 않기 때문이다. 하지만 사이버 공격자가 도리어 사이버 공격에 노출되었다는 것이 RaaS 사업을 하려는 자들에게 유리한 여론을 형성하는 데 도움이 될 것으로 보이지는 않는다.
3줄 요약
1. 최근 악명 떨치는 바북 랜섬웨어 갱단, 사업 확장으로 한창 바쁨.
2. 야심차게 연 다크웹 포럼을 누군가 공격해 외설스러운 이미지로 도배 시작.
3. 공격자는 바북에 5천 달러 요구했으나, 바북은 이를 거절.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
======================================================================================================================
느 낀점 : 여러 기업을 위험하는 랜섬웨어는 참 위험한 존재이다. 미국 송유관 사건도 그러하듯 정보에 대한 접근을 막아버리거나 해당 정보를 제 3자에게 팔아버리기 때문이다. 이 때문에 여러 기업들이 골치 썩고 있을 텐데 이 기사를 보니 '해커가 해커 당했네' ... 라는 생각이 떠오른다. 아무튼 랜섬웨어로 위협하는 단체가 비슷한 방식(같은 수법?)으로 당하니 정말로 해커들간의 전쟁이 보기와 같지 않을까라는 생각을 하게 되었고... 한편으로 저런 식으로 단체를 마비시키는 방법이 있구나라는 것도 알게 되어서 사이버 공격과 방어에 관련하여 다양한 창의력이 필요하다는 것을 새삼 다시 깨닫게 되는 것 같다.
Page updated
Google Sites
Report abuse