2025년 1월 랜섬웨어 피해 사례 수는 지난 12월(673건)에 비해 약 8% 증가한 723건을 기록했다. 지난달에 비해 소폭 증가했으며, 전년 1월(304 건) 대비 2배를 넘는 높은 수치로 랜섬웨어 위협이 증가한 모습을 보이고 있다. 1월에도 높은 수치를 보이는 이유는 Dragon, Akira 그룹의 활동 증가와 신규 그룹인 Babuk2(Babuk-Bjorka) 그룹이 66건에 달하는 많은 피해자를 게시했기 때문이다.

1월에 새로 등장한 신규 그룹 Babuk2는 Bjorka라는 해커가 운영하고 있기 때문에 Babuk-Bjorka라고 불리기도 한다. 이들이 공개한 66건의 피해자는 대부분 다른 그룹에서 과거에 공격한 이력이 있는 것으로 확인됐다. 주로 Funksec, RansomHub, LockBit 그룹과 피해자가 겹치며, 일부 게시글은 내용 자체도 동일한 것으로 확인됐다. 해당 다크웹 유출 사이트는 1월 26일에 공개됐지만 1월 29일부터 접속이 불가능한 상태이며, 자신이 Babuk이라고 주장하는 것 외에는 아직 연관성이 확인되지 않았다.

새로 등장한 그룹뿐만 아니라 기존에 활동하던 랜섬웨어 그룹의 대규모 공격은 지속적으로 확인되고 있다. Cleo의 파일 전송 솔루션 취약점으로 대규모 공격을 수행한 Clop 그룹이 피해자 명단과 탈취 데이터를 공개했다. Clop 그룹은 12월에 Cleo의 MFT 솔루션 3개의 원격 코드 실행 취약점을 악용해 총 66개의 기업을 공격했으며, 그 중 협상에 응하지 55개 기업의 데이터를 다크웹에 공개했다. Clop 그룹은 여기서 그치지 않고 1월 말에 49개의 피해 기업 명단을 추가로 공개했다.

랜섬웨어 그룹들이 해킹 포럼에서 활동하는 모습이 지속적으로 확인되고 있다. BlackLock 그룹은 러시아 포럼에 자신들의 랜섬웨어 기능을 소개하고 RaaS¹ 파트너를 모집하는 글을 업로드했다. BlackLock 그룹은 Windows는 물론 Linux, ESXi, NAS, FreeBSD와 같이 다양한 운영체제를 타깃으로 하며, 부분 암호화와 자가 삭제 등 다양한 기능을 포함하고 있다. 또한 CIS² 와 BRICS³ 국가를 제외한 모든 국가를 공격 대상으로 지정할 수 있으며, 피해자는 온전히 각 계열사가 관리해 거래로 얻은 몸값의 20%만을 수수료로 지불하면 된다. BlackLock 그룹은 소수의 인원만 추가로 모집하고 있으며, 장기적인 협력 관계를 유지하기 위해서 일련의 테스트 과정을 거친 뒤 파트너를 모집하고 있다.

해킹 포럼에서의 위협이 지속되고 있는 가운데 해킹 포럼에서 1건의 국내 사고 사례가 확인됐다. 해킹 포럼 BreachForums에서 활동하는 IntelBroker는 25년 1월 1일에 환경부의 소스코드를 탈취해 판매하고 있다. 탈취한 소스코드는 24년 1월에 유출된 코드라고 밝혔으며, 유출된 소스코드는 환경부 국가미세먼지정보센터의 소스코드로 추정된다. 또한, IntelBroker와 EnergyWeaponUser는 환경부의 X(트위터) 계정 또한 탈취해 게시물을 2건 게시했다가 12월 30일 삭제했다.

윈도우 및 리눅스뿐만 아니라 클라우드를 위협하는 랜섬웨어 공격이 확인되어 주의가 필요하다. Amazon에서 제공하는 클라우드 스토리지 Amazon S3 환경을 노리는 Codefinger 랜섬웨어는 서버에 저장된 데이터를 보호하기 위한 기능을 악용해 파일을 암호화한다. 고객 제공 키(SSE-C)를 이용해서 서버 측 암호화를 사용해 데이터를 암호화하고, 데이터를 복호화하기 위한 대가로 금전을 요구한다. 또한 객체 수명 주기 관리 API를 이용해 7일 뒤 암호화된 데이터가 자동으로 삭제되도록 해 피해자를 협박한다. 이러한 작업은 IAM 정책에서 SSE-C가 S3 버킷에 적용되지 않도록 설정해 악용을 방지할 수 있다. 또한 결정적으로 AWS 자격 증명이 있어야만 SSE-C를 악용해 파일 암호화가 가능하므로, GitHub와 같은 온라인 프로젝트 공유 플랫폼에 노출되지 않도록 주의하며, AWS 자격 증명을 주기적으로 관리하고 최소한의 권한만을 부여해 피해를 최소화해야 한다.

마지막으로 Funksec 그룹은 12월 89건에 이어 1월에는 39건의 피해자를 게시하며 위협적인 모습을 보여주고 있다. 1월 초에는 Funksec 그룹이 사용하는 랜섬웨어인 FunkLocker를 1.2, 1.5 버전으로 업데이트 하고, RaaS 파트너 또한 모집하기 시작했다. 관리자 패널을 준비하고 있으며, 서비스로 제공될 랜섬웨어는 다음 버전 Funksec 2.0을 사용할 것이라고 밝혔다. 활동 초기에 무료 DDoS 공격 도구 등 다양한 서비스를 부가적으로 제공했으며, 1월에도 새로운 서비스를 추가로 공개했다. Funksec 운영자의 공지사항이나 전달 사항을 전달하고 일반 사용자도 활동이 가능한 자체 다크웹 포럼 Funkforum을 공개하고, 그 외에도 탈취한 데이터를 경매 형태로 판매하는 FunkBID를 공개했다. 또한 국내 제조업체를 공격해 다크웹 사이트에 탈취한 데이터를 공개했기 때문에 Funksec 랜섬웨어에 대해 자세히 살펴보고 전략과 대응방안을 통해 위협에 대비할 필요가 있다.

1월에는 4개의 신규 랜섬웨어 그룹이 발견됐다. Morpheus 그룹은 1월에 다크웹 유출 사이트가 발견된 그룹이지만, 공격 활동은 더 이전에 수행한 것으로 확인됐다. 게시한 3건의 피해자 중 2건은 12월에 게시됐으며, 그 중 한 건은 8월에 공격당한 사실이 밝혀졌다.

1월 말에는 자신을 Babuk2라고 칭하는 신규 그룹이 발견됐다. 기존에 알려진 Babuk 그룹은 21년 초부터 활동을 시작해 RaaS를 제공하고 이중 협박을 통해서 금전을 요구한 그룹이다. Babuk 그룹은 21년 4월 미국 워싱턴 경찰청을 공격한 후 법 집행 기관의 압박을 느껴 랜섬웨어 활동을 중단했으며, 관계자로 추정되는 사람이 21년 6월 다크웹 해킹 포럼에 전체 소스코드를 공개하며 Babuk 랜섬웨어는 추후 여러 랜섬웨어 공격에 악용됐다. 새로 발견된Babuk2 그룹은 기존 Babuk 그룹과의 연관성이 아직은 발견되지 않았으며, 공개한 피해자들의 대부분은 Funksec, RansomHub, LockBit 그룹이 이미 업로드한 피해자로 확인됐다. Babuk2 그룹이 단순 이름만 가져온 그룹인지, 아니면 다른 랜섬웨어 그룹과의 연관이 있는지는 더 지켜봐야할 것으로 보인다.

GDLockerSec 그룹은 1월에 총 5건의 피해자를 게시한 신규 그룹으로, 그 중에는 Amazon의 클라우드 컴퓨팅 서비스인 AWS가 포함되어 있다. 이들은 AWS로부터 9GB의 데이터를 탈취했다고 주장했지만, 제공된 CSV 파일을 확인한 결과 데이터 분석 플랫폼 Kaggle에서 공유되는 데이터와 일치하는 것이 확인됐다.

파트너를 모집하며 본격적인 활동을 준비하는 신규 랜섬웨어 또한 확인됐다. A1project 랜섬웨어는 Windows 와 Linux 환경은 물론 ESXi 환경도 암호화가 가능하다. A1project 그룹은 관리 패널은 물론, 탈취 데이터를 공개할 데이터 유출 사이트와 비밀 협상 채팅 기능도 제공하며, 20%의 수수료만 지불하면 된다고 홍보하고 있다.

Dragon 그룹은 지난 10월부터 텔레그램 채널을 통해 활동하기 시작한 랜섬웨어 그룹으로, 작년에는 매달 평균 10건에 달하는 피해자를 게시했지만 1월에는 100건이 넘는 피해자를 게시하며 활동량이 급증한 모습을 보여줬다. 이들은 자체 랜섬웨어인 Dragon 랜섬웨어를 사용하며, 사용자가 설정값을 변경해 쉽게 랜섬웨어를 만들 수 있는 빌더 도구를 제공하는 RaaS 또한 제공하고 있다. 랜섬웨어 공격 외에도 DDoS 공격과 웹사이트 변조 공격 또한 수행하며 다양한 위협 활동을 하고 있다.

Akira 그룹도 지난 11월부터 활동량이 증가했으며, 1월에도 69건의 피해자를 게시하며 활발히 활동하고 있다. 1월에는 미국의 환경 컨설팅 및 교육 기업 AAA Environmental을 공격해 기업의 재무 제표, 직원 의료 정보, 고객의 개인 정보 등의 정보를 탈취했다. 또한 아르헨티나의 미디어 업체 Diario Los Andes를 공격해 직원의 개인 정보와 계산서 등을 포함한 내무 문서를 탈취했다.

Bjorka 라는 해커가 운영하며, Babuk이라고 주장하는Babuk2(Babuk-Bjorka) 그룹은 등장과 함께 66건의 피해자를 일괄적으로 게시했다. 하지만 대부분의 피해자는 Funksec, RansomHub, LockBit 등의 그룹이 이미 공개한 이력이 있으며, 피해 기업을 소개하는 문구 또한 다른 그룹의 데이터 공개 글의 내용을 그대로 가져다 사용한 것이 확인됐다. 아직 두 그룹간에 연관성이 확인되지 않았기 때문에, Babuk2 그룹이 단순히 홍보성 목적으로 데이터를 게시한 것인지 아니면 Funksec, RansomHub, LockBit 그룹 등과의 협력 관계에 있는 것인지 지켜볼 필요가 있다.

지난 12월 Cleo의 파일 전송 솔루션의 취약점을 악용해 대규모 공격을 한 Clop 그룹이 추가 피해자를 공개했다. 이들은 12월에 공개한 66개의 피해 기업 중 총 55개 기업의 데이터를 다크웹 유출 사이트에 공개했으며, 1월 말에는 49개의 피해 기업명을 추가로 공개했다. 추가 명단의 유출 데이터는 아직 공개되지 않았으며, 알파벳 순으로 A-C에 해당하는 기업만 공개됐기 때문에, 더 많은 피해자 명단이 공개될 가능성이 높아 보인다.

Funksec 그룹은 24년 12월 발견된 그룹이다. 이들은 12월에만 89건의 피해자를 게시하고, 지금까지 129건의 피해자를 게시하며 위협적인 모습을 보여주고 있다. 또한 25년 1월에는 국내 제조업체의 데이터를 탈취해 업로드 했다. 또한 활동 초기에는 DDoS 공격 도구는 물론 브라우저에 저장된 계정 정보를 탈취하는 도구, 가상 네트워크를 구축해 사용자 몰래 원격 접속이 가능한 hVNC 악성코드를 다크웹 유출 사이트에 공개했지만, 현재는 GitHub에서 무료로 공유하고 있다.

다크웹 유출 사이트를 업데이트하며 Funkforum이라는 다크웹 포럼을 개설해 자신들이 운영하기 시작했다. 포럼은 누구나 가입이 가능해 글을 작성하거나 열람이 가능하다. 아직까지 포럼에는 Funksec 운영자의 게시글이 대부분이며, FSociety 그룹와의 협력 소식이나 Funksec 2.0 출시 소식 등 Funksec 서비스의 주요 업데이트 내용을 공유하고 있다.

1월 말, Funksec 그룹은 자신들이 탈취한 데이터를 경매로 판매하는 사이트인 FunkBID를 개설했다. 1월까지 다크웹 유출 사이트에 게시한 데이터는 기존 방식대로 일정 기간이 지나면 데이터를 전부 공개하고 있지만, FunkBID 개설 이후에 업로드된 데이터는 모두 경매로 판매되고 있다. 아직까지는 탈취한 데이터만 경매 진행중이거나 경매 예정이지만, FunkBID 에서는 멀웨어, 악성 도구, 접근 권한, 데이터베이스, 소스코드로 총 5개로 경매를 분류하고 있기 때문에 단순 탈취 데이터뿐만 아니라 더 다양한 데이터가 공개될 가능성이 있다.

이들은 또한 랜섬웨어를 서비스 형태로 제공하는 RaaS를 제공할 예정이다. 1월 초, 자신들의 다크웹 유출 사이트를 통해서 RaaS 이용자를 모집하기 시작했으며, 포럼을 통해서 RaaS의 진행 사항을 공유하고 있다. RaaS에서 서비스 이용자가 랜섬웨어 생성이나 피해자를 관리할 수 있는 관리 패널은 아직 개발 중으로, 4월에 개발 완료 예정이며, RaaS에서 사용하게 될 랜섬웨어인 Funksec 2.0은 2월 이후에 개발이 완료될 예정이라고 밝혔다. 또한 랜섬웨어 공격에 사용할 수 있는 취약점 사용 방법이나 피싱 메일 기술에 대한 교육도 월 5,000 달러(한화 약 730만원)에 제공할 예정이라고 밝혔다.

1월 초에는 Funksec 그룹이 사용하는 랜섬웨어인 FunkLocker v1.5의 일부 샘플이 공개됐다. 자신들의 다크웹 유출 사이트에 백신 프로그램의 이름인 Avast Premium으로 샘플을 공개했으며, 그 외에도 개발 단계로 보이는 Rust 기반의 소스코드(ransomware.rs) 등이 공개되기도 했다. 다가오는 Funksec 그룹의 위협에 대응하기 위해 공개된 FunkLocker v1.5를 분석한 내용을 공유하고자 한다.

Funksec 랜섬웨어는 파일 암호화, 백업 복사본 삭제, 이벤트 로그 삭제 등 여러 작업을 원활히 수행하기 위해서 관리자 권한을 필요로 한다. 랜섬웨어 실행 시 권한을 확인한 후 PowerShell 명령어를 이용해서 현재 실행중인 랜섬웨어를 관리자 권한으로 재실행하고, 현재 실행중인 랜섬웨어는 종료한다. 사용하는 PowerShell 명령어는 아래와 같다.

관리자 권한으로 재실행한 후, 현재 대상 환경이 가상 환경인지 체크한다. Windows에서 프로세스 목록을 확인할 수 있는 tasklist 명령어를 활용하며, 확인된 리스트에서 가상 환경과 연관된 프로세스를 확인한다. 단, 실행중인 환경이 가상 환경임을 탐지하더라도 “VM detected, aborting.” 만 명령 프롬프트에 출력될 뿐, 별도의 프로그램 종료나 랜섬웨어 종료와 같은 분석 방해 행위는 발견되지 않았다.

또한 하드코딩된 프로세스 및 서비스 목록을 이용해, 대상 환경에서 프로세스와 서비스를 강제로 종료시킨다. 확인된 프로세스 및 서비스 목록은 아래 표와 같다.

프로세스 및 서비스 종료 후, 현재 실행중인 랜섬웨어를 내부 네트워크로 전파한다. 전파 대상은 하드코딩된 네트워크 대역으로, Windows에서 제공하는 네트워크 및 소켓 API Winsock을 이용해 연결을 시도하고, 대상 네트워크에 랜섬웨어 전송을 시도한다. 단, 하드코딩된 네트워크 대역의 범위가 매우 한정적이여서 사실상 실제 내부 전파 가능성은 매우 낮다. 내부 전파에 사용하는 IP 주소는 아래 표와 같다.

또한 랜섬웨어를 작업 스케줄러에 등록해 시스템 부팅 시 랜섬웨어가 실행될 수 있도록 한다. 사용하는 명령어는 아래와 같다.

랜섬웨어의 악성 행위가 탐지되거나 기록되지 않게 일부 보안 정책을 비활성화하고 실행 정책을 변경한다. Windows Defender의 감시 및 이벤트 로그 기능 또한 비활성화 하며, PowerShell의 정책 또한 수정해 모든 스크립트를 허용한다. 모든 PowerShell 명령어 수행이 끝나면, 백업 저장본을 삭제한다.

온라인 이미지 공유 커뮤니티에 사전에 업로드한 이미지를 다운로드 후, 바탕화면을 변경한다. 2월 기준으로 해당 이미지 다운로드는 더 이상 불가능하며, 이미지가 다운로드 되지 않으면 별도의 에러 로그를 출력하며 바탕화면 변경은 건너뛴다.

이후에는 하드코딩된 랜섬노트를 현재 랜섬웨어 실행 경로 위치에 저장한다. 랜섬노트는 마크다운⁴ 형태이며 이때 랜덤한 10글자의 문자열을 생성해 랜섬노트 제목에 삽입한다.

앞선 모든 과정이 끝나고 난 뒤, A 드라이브부터 Z 드라이브까지 모두 확인해 연결된 드라이브를 대상으로 파일 암호화를 진행한다. 하드코딩된 암호화 대상 확장자 명과 폴더 명을 기준으로 특정 폴더와 그 하위에 있는 파일만 암호화를 진행한다. 암호화 대상 확장자와 폴더명은 아래 표와 같다.

파일 암호화는 ChaCha20-Poly1305 알고리즘을 사용한다. AES 알고리즘을 사용해서 파일을 암호화하고 RSA 알고리즘으로 키를 보호하는 Rust 소스코드 또한 공개됐지만, 해당 소스코드는 암호화 함수만 존재하는 개발 단계 혹은 테스트 버전의 소스코드로 추정된다. 랜섬웨어에 저장된 비밀번호와 각 파일마다 랜덤하게 생성된 24Bytes 값으로 암호화에 사용할 ChaCha20-Poly1305 키를 생성한다. 키 생성에는 해시 알고리즘인 Argon2와 HChaCha20 알고리즘을 사용하며, 각각의 파일마다 암호화 키를 생성해 파일 전체를 암호화한다. 암호화는 원본 데이터를 128 Bytes 단위로 암호화하며, 랜덤한 32Bytes 크기의 데이터를 추가로 생성해 암호화된 데이터와 함께 저장한다. 자세한 암호화 과정은 아래 그림과 같다.

Funksec 랜섬웨어는 악성 행위에 기본 내장 명령어나 PowerShell 명령어를 주로 사용한다. 이를 통해서 권한 상승을 시도하거나, 랜섬웨어를 작업 스케줄러에 관리자 권한으로 등록한다. ASR⁵ 규칙을 활성화를 통해서 이러한 비정상적인 프로세스를 차단해 악성 행위를 막을 수 있다. 또한 작업 스케줄러의 경우 접근 권한을 제한해두거나 AppLocker⁶ 와 WDAC⁷ 를 활용해 작업 스케줄러가 지정된 조건 외에 실행되는 것을 차단할 수 있다.

또한 PowerShell 명령어를 사용해서 Windows Defender의 실시간 보호 기능을 비활성화 하고 Windows 이벤트 로그 기능 또한 비활성화를 시도한다. 이러한 경우, 이벤트 로그를 권한이 있는 사용자만 접근할 수 있도록 사전에 설정해 두거나 이벤트 로그를 원격 저장소에 별도로 저장해 보존할 수 있다. 그 외에도 EDR⁸ 솔루션을 통해 공격자가 사용하는 특정 프로세스를 차단해 악성 행위를 막을 수 있다.

랜섬웨어를 내부 네트워크에 전파하기 위해서 Windows의 네트워크 관련 API인 Winsock을 활용해 내부 네트워크 대역에 전파를 시도한다. 하드코딩된 네트워크 대역대에만 4444 포트를 통해서 네트워크 연결 및 랜섬웨어 전파를 시도하기 때문에 호스트 방화벽을 통해서 특정 포트를 차단해 불필요한 통신을 제한할 수 있다.

파일 암호화에 앞서 사용자가 임의로 복구하는 것을 방지하기 위해 백업 복사본을 삭제한 뒤 파일 암호화를 진행한다. ASR규칙 활성화를 통해서 백업 복사본을 삭제하는 프로세스와 파일을 암호화는 것을 차단할 수 있다. 또한 백업 복사본의 경우 별도의 네트워크나 저장소에 소산 백업해야 한다.

BleepingComputer 공식 홈페이지 (https://www.bleepingcomputer.com/news/security/babuk-locker-is-the-first-new-enterprise-ransomware-of-2021) The Hacker News (https://thehackernews.com/2025/01/experts-find-shared-codebase-linking.html) SecurityWeek (https://www.securityweek.com/compromised-aws-keys-abused-in-codefinger-ransomware-attacks/) Halcyon Research (https://www.halcyon.ai/blog/abusing-aws-native-services-ransomware-encrypting-s3-buckets-with-sse-c) KELA 블로그 (https://www.kelacyber.com/blog/is-gdlockersec-really-targeting-aws/) 보안 뉴스 (https://www.boannews.com/media/view.asp?idx=135368&direct=mobile) Group IB 블로그 (https://www.group-ib.com/blog/cat-s-out-of-the-bag-lynx-ransomware/)

¹RaaS (Ransomware-as-a-Service): 랜섬웨어를 서비스 형태로 제공해서 누구나 쉽게 랜섬웨어를 만들고 공격할 수 있도록 하는 비즈니스 모델

²CIS (Commonwealth of Independent States): 구 소련 공화국들의 연합체로 결성된 국가 연합으로, 러시아, 벨라루스, 아르메니아 등 11개국이 포함되어 있다

³BRICS: 브라질, 러시아, 인도, 중국을 일컫는 약칭

⁴마크다운 (Markdown): 특수문자나 태그를 이용해 서식이 있는 문서를 작성할 수 있는 언어

⁵ASR (Attack Surface Reduction): 공격자가 사용하는 특정 프로세스와 실행 가능한 프로세스를 차단하는 보호 기능

⁶AppLocker: Windows 운영체제에서 특정 프로그램을 실행할 수 있는 경로나 사용자 등을 지정해, 실행할 수 있는 프로그램을 사전에 제한할 수 있는 보안 기술

⁷WDAC(Windows Defender Application Control): 사용자가 실행할 수 있는 프로그램이나 코드를 제한하도록 설정해, 서명되지 않은 프로그램이나 스크립트 등의 실행을 방지하는 보안 기술

⁸EDR (Endpoint Detection and Response): 컴퓨터와 모바일, 서버 등 단말기에서 발생하는 악성 행위를 실시간으로 감지하고 분석 및 대응하여 피해 확산을 막는 솔루션

프로세스	서비스스
system32.exe, chrome.exe, firefox.exe, explorer.exe, outlook.exe, spotify.exe, vlc.exe, Skype.exe, Teams.exe Discord.exe Java.exe Python.exe, Node.exe, Javaw.exe, Winword.exe, Excel.exe, Powerpnt.exe, cmd.exe, PowerShell.exe, notepad++.exe, gimp-2.10.exe, photoshopt.exe, itunes.exe	WinDefend, wuauserv, bits, Spooler, DockApp, MpsSvc, XblGameSave, DiagTrack, SysMain, lfsvc, seclogon, wscsvc, trkwks, RemoteRegistry, netprofm, Netsh, twinapi.appcore, TimeBrokerSvc, RasMan, sshd, LanmanWorkstatio, CryptSvc, EventLog

명령어	설명
powershell -Command Set-MpPreference - DisableRealtimeMonitoring $true	Windows Defender 실시간 보호 비활성화
powershell -Command wevtutil sl Security /e:false	보안 이벤트 로그 비활성화
powershell -Command wevtutil sl Application /e:false	응용 프로그램 이벤트 로그 비활성화
powershell -Command Set-ExecutionPolicy Bypass -Scope Process -Force	PowerShell 실행 정책 변경

IP 주소	Port
192.168.1.2~21	4444