BARADAI 랜섬웨어

최근 랜섬웨어 공격은 더욱 정교해지고 있으며, 이에 따라 사전 예방적인 사이버 보안 조치가 그 어느 때보다 중요해졌습니다. 기업과 개인 사용자 모두 민감한 데이터를 암호화하고, 운영을 방해하며, 금전적 갈취를 시도하는 악의적인 공격자로부터 끊임없는 위협에 직면하고 있습니다. 특히 위험한 사례로 악명 높은 MedusaLocker 랜섬웨어 계열에 속하는 BARADAI 랜섬웨어가 있습니다. 이 위협은 고도의 암호화 기술과 데이터 탈취 수법을 결합하여 피해를 입은 기업에 심각한 운영, 재정 및 평판 손실을 초래합니다.

BARADAI 랜섬웨어 공격의 내부

BARADAI는 시스템에 침투하여 중요한 파일을 암호화하고 피해자에게 몸값을 요구하도록 설계된 랜섬웨어입니다. 감염된 시스템에서 실행되면 파일을 암호화하고 해당 파일 이름에 '.BARADAI' 확장자를 추가합니다. 예를 들어 'document.pdf'라는 파일은 'document.pdf.BARADAI'가 되어, 적절한 복호화 키 없이는 접근할 수 없게 됩니다.

암호화 과정이 완료되면 악성 프로그램은 'read_to_decrypt_files.html'이라는 HTML 형식의 랜섬웨어 메시지를 생성합니다. 이 메시지는 피해자에게 기업 네트워크가 RSA-4096 및 AES-256 암호화 알고리즘을 사용하여 '침해 및 암호화'되었다고 알립니다. 이러한 암호화 표준은 매우 안전하며 무차별 대입 공격으로는 사실상 해독이 불가능하다고 알려져 있습니다.

몸값 요구 메시지에는 제3자 복구 소프트웨어를 사용하거나 암호화된 파일을 수정하지 말라는 경고도 포함되어 있으며, 이러한 행위는 데이터를 영구적으로 손상시킬 수 있다고 주장합니다. 이러한 경고는 주로 피해자를 위협하기 위한 것이지만, 일부 랜섬웨어 공격의 경우 부적절한 복구 시도가 실제로 복구 작업을 더욱 어렵게 만들 수 있습니다.

이중적인 협박 전술로 압박을 가중시킨다

BARADAI는 최근 많은 랜섬웨어 그룹이 사용하는 '이중 갈취' 전략을 따릅니다. 공격자들은 파일을 암호화하는 것 외에도 랜섬웨어를 배포하기 전에 손상된 네트워크에서 민감한 정보를 훔친다고 주장합니다. 몸값 요구 메시지에 따르면, 도난당한 데이터에는 기밀 비즈니스 문서, 재무 기록 및 개인 정보가 포함될 수 있습니다.

피해자들은 배상 요구를 무시할 경우 언론 매체나 데이터 브로커를 통해 해당 정보가 공개될 것이라는 협박을 받습니다. 이러한 수법은 특히 민감한 고객 정보, 규제 대상 데이터 또는 독점적인 지적 재산을 다루는 기업에 상당한 압력을 가합니다.

공격자들은 자신들의 신뢰도를 높이기 위해 중요하지 않은 파일 몇 개를 무료로 복호화해 주겠다고 제안합니다. 이는 몸값을 지불하면 복호화가 기술적으로 가능하다는 것을 증명하기 위한 것입니다. 메시지에는 이메일 주소, Tor 기반 포털, qTox 메시징 ID 등의 연락 채널이 제공됩니다. 또한 피해자들에게 '안전한' 통신을 위해 ProtonMail 사용을 권장하며, 72시간이라는 시한을 설정하여 지정된 시간 이후에는 몸값 요구액이 증가할 것이라고 경고함으로써 긴박감을 조성합니다.

바라다이가 특히 위험한 이유

BARADAI는 MedusaLocker 랜섬웨어 계열에 속하기 때문에 상당한 위협이 됩니다. 이 계열은 일반 가정 사용자보다는 기업 환경을 표적으로 삼는 것으로 알려져 있습니다. 공격자들은 기업 네트워크에 깊숙이 침투한 후 이러한 공격을 치밀하게 계획하고 실행하는 경우가 많습니다.

이 랜섬웨어는 일반적으로 손상된 원격 데스크톱 프로토콜(RDP) 서비스를 통해 확산됩니다. 공격자는 취약하거나 재사용된 자격 증명으로 보호되는 인터넷 연결 RDP 엔드포인트를 찾아 무차별 대입 공격을 통해 무단 접근 권한을 획득합니다. 일단 시스템에 침투하면 네트워크를 통해 횡적으로 이동하며 추가 시스템을 공격하고, 방어 체계를 무력화하고, 여러 시스템에 동시에 랜섬웨어를 배포합니다.

피싱 공격 또한 주요 감염 경로 중 하나입니다. 직원들은 청구서, 보고서 또는 업무 관련 문서로 위장한 악성 첨부 파일을 자신도 모르게 열어볼 수 있습니다. 이러한 파일에는 악성 매크로, 내장 스크립트 또는 악성코드 다운로드 링크가 포함되어 있는 경우가 많습니다. ZIP 또는 RAR 파일과 같은 압축 아카이브는 기본적인 이메일 필터링 기능을 우회하는 데 자주 사용됩니다.

추가적인 감염 경로는 트로이 목마 악성코드, 불법 복제 소프트웨어, 불법 정품 인증 도구, 가짜 소프트웨어 업데이트 및 신뢰할 수 없는 다운로드 플랫폼 등이 있습니다. 네트워크 분할이 제대로 되어 있지 않은 환경에서는 단 하나의 감염된 엔드포인트가 조직 전체에 광범위한 침해를 빠르게 확산시킬 수 있습니다.

암호화 및 복구 과제

공격자의 협조 없이 BARADAI 랜섬웨어에 의해 암호화된 파일을 복구하는 것은 일반적으로 불가능합니다. 이 랜섬웨어는 공격자가 보유한 개인 복호화 키 없이는 우회할 수 없는 강력한 암호화 메커니즘을 사용합니다. 악성코드 자체에 심각한 구현 결함이 없는 한, 무료 복호화 옵션은 없을 것으로 예상됩니다.

사이버 보안 전문가들은 몸값을 지불하는 것을 강력히 반대합니다. 공격자들은 몸값을 받은 후에도 제대로 작동하는 복호화 도구를 제공하지 않는 경우가 많습니다. 어떤 경우에는 공격자들이 해당 조직을 협박에 응할 의향이 있는 조직으로 파악하여 반복적으로 공격 대상으로 삼기도 합니다.

감염된 시스템에서 랜섬웨어를 제거하는 것은 추가적인 암호화 작업을 방지하는 데 필수적이지만, 악성코드 제거만으로는 이미 잠긴 파일을 복구할 수 없습니다. 가장 확실한 복구 전략은 오프라인에 저장된 깨끗한 백업 또는 메인 네트워크와 격리된 안전하게 보호된 원격 인프라에 저장된 백업을 사용하는 것입니다.

BARADAI 및 유사 위협에 대한 방어력 강화

조직은 다층적인 보안 제어를 구현하고 체계적인 사이버 보안 관행을 유지함으로써 랜섬웨어 공격에 대한 노출을 크게 줄일 수 있습니다. 효과적인 방어에는 기술적 보호 조치와 직원 인식 제고가 모두 필요합니다.

주요 보호 조치는 다음과 같습니다.

• 특히 RDP 및 기타 원격 접속 서비스에 대해 강력한 암호 정책과 다단계 인증을 시행해야 합니다.
• 가능한 한 노출된 RDP 액세스를 제한하거나 비활성화합니다.
• 운영 시스템과 격리된 환경에서 정기적인 오프라인 및 클라우드 기반 백업을 유지합니다.
• 운영 체제, 애플리케이션 및 네트워크 장치에 보안 패치를 신속하게 적용합니다.
• 의심스러운 행위를 감지할 수 있는 신뢰할 수 있는 엔드포인트 보호 및 네트워크 모니터링 솔루션을 사용합니다.
• 침해 과정에서 측면 이동을 제한하기 위해 네트워크를 분할합니다.
• 직원들에게 피싱 이메일, 악성 첨부 파일 및 사회공학적 수법을 식별하는 방법을 교육합니다.

이러한 조치 외에도 조직은 선제적인 사고 대응 전략을 채택해야 합니다. 지속적인 모니터링, 위협 탐지, 취약점 평가 및 침투 테스트를 통해 공격자가 악용하기 전에 취약점을 파악할 수 있습니다. 사고 대응 계획을 수립하고 연습하는 것은 보안 팀이 랜섬웨어 공격 발생 시 더욱 효과적으로 대응하여 운영 중단 및 데이터 손실을 최소화하는 데에도 도움이 됩니다.

점점 심화되는 위협 환경

BARADAI는 랜섬웨어 공격이 어떻게 조직적이고 파괴적인 사이버 범죄 조직으로 진화했는지 보여줍니다. 공격자들은 강력한 암호화, 데이터 탈취, 심리적 압박, 그리고 다양한 감염 경로를 결합하여 금전적 이득을 극대화하는 동시에 피해자에게 심각한 피해를 입힙니다.

랜섬웨어 그룹들이 공격 기법을 계속해서 정교하게 다듬어감에 따라, 모든 규모의 조직에게 강력한 사이버 보안을 유지하는 것이 필수적입니다. 예방적 보안 조치, 직원 교육, 신뢰할 수 있는 백업, 그리고 신속한 사고 대응 능력은 BARADAI와 같은 랜섬웨어 및 메두사락커(MedusaLocker) 랜섬웨어 생태계에 대한 가장 강력한 방어 수단입니다.