Kant's IT/Issue on IT&Security

Babuk2 랜섬웨어 그룹의 허위 갈취 전술 및 대응 방안

Kant Jo 2025. 5. 4. 07:30

Babuk2 Ransomware Issues Fake Extortion Demands Using Data from Old Breaches

 

  • 그룹 개요
    • Babuk2는 2025년 1월 등장한 위협 행위자로, 2021년 활동했던 원조 Babuk과는 직접적 연관 없음
    • ‘Babuk-Bjorka’로도 알려져 있으며, 기존 Babuk의 이름을 도용하여 신뢰성을 확보하려는 목적 추정
    • 관리자 Bjorka는 다양한 해킹 포럼 및 텔레그램 활동 이력이 있음
  • 갈취 방식의 특징
    • 실제 침해가 아닌 과거 유출된 데이터를 재활용해 협박 메시지 작성
    • 피해자 목록에 RansomHub, FunkSec, LockBit, 원조 Babuk 등의 피해기업 포함
    • 독자적 침투 없이도 ‘가짜 공격’ 시나리오로 랜섬 요구 진행
    • 실제로는 제3자나 피해자로부터 공격 발생 사실에 대한 확인 전무
  • 조직에 미치는 영향
    • 허위 위협에도 기업은 불안감으로 인해 대응 비용 및 평판 피해 발생 가능
    • 위협을 진짜로 오인하여 랜섬비를 지불하거나 사고 대응 자원을 낭비하는 사례 우려
    • 인도 국방 및 정부기관을 노렸다는 주장도 있으나 사실관계 불명확
  • 보안 권고
    • 침해 주장 발생 시 즉각적인 네트워크 포렌식 및 IOC 기반 점검 수행
    • 과거 유출 데이터의 식별을 위한 DLP 및 OSINT 기반 검증 도입
    • 법적 협박 사례에 대한 대응 매뉴얼 마련 및 커뮤니케이션 절차 사전 정의
    • 허위 갈취 행위에 대응한 인식 제고 교육 및 피싱 방지 교육 병행
  • 결론
    • 외부 보고된 침해사고에 대해 독립적이고 철저한 진위 확인 절차 필수
    • 유포된 데이터가 실제 신종 침해 결과인지, 아니면 과거 유출 데이터인지를 식별
    • 네트워크 무결성 점검 및 최근 침해 흔적에 대한 로그 기반 탐지 강화
    • 허위 위협 대응에 자원 낭비하지 않도록 사이버 보안 전문가와 협업 필요