2023년 4월 제약회사를 공격하면서 알려진 RA Group 랜섬웨어는 제약회사의 데이터를 1.4TB 이상 외부로 유출 한 것으로 알려 졌습니다
암호화된 파일의 내용 중 마지막 코드에 Babuk Locker 랜섬웨어에서 확인된 "choung dong looks like hot dog!!" 라는 문자열이 포함 된것으로 보아 유출된 Babuk Locker 랜섬웨어 소스를 사용하여 제작 된것으로 보입니다
암호화 대상에서 제외되는 폴더와 파일은 아래와 같습니다
폴더 : #recycle, $Recycle.Bin, All Users, AppData, Boot, Google, Internet Explorer, Mozilla, Mozilla Firefox, Opera, Opera Software, Program Files, Program Files (x86), ProgramData, Tor Browser, Windows, Windows.old
파일 : autorun.inf, boot.ini, bootfont.bin, bootmgfw.efi, bootmgr, bootmgr.efi, bootsect.bak, desktop.ini, iconcache.db, ntldr, ntuser.dat, ntuser.dat.log, ntuser.ini, thumbs.db
Babuk Locker 랜섬웨어가 실행되면 먼저 시스템 디스크의 숨김 파티션(복구, EFI)을 활성화 시켜 내부의 파일도 암호화 합니다
그리고, 시스템 복원을 무력화 하는 쉐도우 볼륨 삭제 명령을 실행하여 복구를 방해 합니다
특징으로는 파일 확장자를 변경하고 이 후에 암호코드를 파일에 추가하는 특징이 있습니다
또한, 파일 암호화를 하기 전에 데이터를 외부로 유출하여 2중의 협박을 하고 있습니다
확장자 변경은 "문서.txt.GAGUP" 형태로 변경 되며
파일 암호화된 폴더에는 "How To Restore Your Files.txt" 안내 파일이 생성 됩니다
안내 파일 내용에는 3일 이내에 연락 하지 않으면 유출한 데이터 중 샘플로 몇개를 공개 할것이며
7일 이내에 연락 하지 않으면 유출한 데이터 모두를 공개 하겠다는 협박 내용이 있습니다
RA Group 랜섬웨어 조직은 피해 업체의 정보와 유출된 파일 정보를 확인 할 수 있는 사이트를 운영 하고 있습니다
