Keep up with Ransomware
확산되는 KryBit 랜섬웨어 위협
■ 개요
2026년 4월 랜섬웨어 피해 사례 수는 지난 3월(884건) 대비 하락한 779건으로 집계됐다.
2026년 4월 15일, 다크웹 포럼 DarkForums의 데이터베이스가 경쟁 포럼인 PwnForums에 의해 유출된 것으로 확인됐다. PwnForums 측은 DarkForums가 사용하던 myBB 포럼 소프트웨어의 취약점을 악용해 약 42만 건 이상의 사용자 관련 기록을 확보했다고 주장했다. 유출 데이터에는 사용자명, 게시글 ID, IP 주소, 호스트명 등이 포함된 것으로 확인됐으며, 일부 기록에는 Tor나 VPN을 거치지 않고 접속한 흔적도 포함돼 있어, 사용자들의 실제 접속 환경이나 위치를 추정할 수 있는 정보가 노출된 것으로 알려졌다. 이번 사건은 다크웹 포럼 간 경쟁이 단순한 커뮤니티 운영 경쟁을 넘어, 경쟁 포럼의 신뢰도와 이용자 익명성을 훼손하는 방식으로 전개될 수 있음을 보여준다.
2026년 4월 말, 랜섬웨어 공격자들은 cPanel/WHM 1 의 인증 우회 취약점(CVE-2026-41940)을 악용해 랜섬웨어 공격을 수행했다. 해당 취약점은 로그인 없이 cPanel/WHM 제어판에 접근할 수 있는 취약점으로, 악용 시 관리자 권한 확보와 서버 내 파일 및 설정 접근으로 이어질 수 있다. 공격자는 취약점을 통해 관리자 권한을 확보한 뒤, Linux 환경에서 Go 언어로 제작된 랜섬웨어를 실행해 시스템 내 파일을 암호화 후 ‘sorry’ 확장자를 추가했다. 특히 이번 공격은 cPanel/WHM을 통해 웹사이트를 관리하는 시스템에서 발생했으며, 감염된 웹사이트의 페이지 변조 흔적이 검색엔진 검색 결과에 반영되어 공격자의 TOX 2 ID가 노출된 사례가 확인됐다.
2026년 4월 한 달간 국내 산업계를 겨냥한 랜섬웨어 공격은 총 2건으로 집계됐으며, 의료/제약 분야와 IT 분야에서 각각 확인됐다. 지난 3월 9건과 비교하면 감소한 수치이나, 국내 기업을 대상으로 한 공격은 여전히 지속되고 있다.
4월 국내 기업을 대상으로 공격을 수행한 랜섬웨어 그룹은 Gunra와 Audit 두 그룹으로 Gunra 그룹은 4월 7일 국내 제약 업체의 내부 자료를 탈취했다고 주장했으며, Audit 그룹도 같은 날 국내 IT 기업의 내부 소스코드를 탈취했다고 주장했다.
■ 랜섬웨어 뉴스
그림 1.랜섬웨어 동향
■ 랜섬웨어 위협
그림 2. 2026년 4월 랜섬웨어 위협 현황
• 새로운 위협
2026년 4월에는 신규 랜섬웨어 그룹 10개가 등장했다. 확인된 신규 랜섬웨어 그룹은 모두 다크웹 유출 사이트를 보유하고 있으며, 현재까지 Audit 그룹을 제외한 나머지 그룹들은 다크웹 유출 사이트를 운영하며 활동을 이어가고 있는 것으로 확인된다.
그림 3. Lamashtu의 다크웹 유출 사이트
2026년 3월 등장한 Lamashtu 그룹은 다크웹 유출 사이트에 총 24건의 피해 사례를 게시하며 활동을 이어가고 있다. 이들의 다크웹 유출 사이트는 피해 사례 정보를 외부에서 API로 조회 및 활용할 수 있도록 별도의 API 문서를 제공하고 있다. 또한 피해자 업로드 게시글은 Pending, Released, Hot 등 상태별로 분류되며, 아직 자료가 공개되지 않은 게시글에는 공개 예정일을 표시해 피해 기업을 압박하는 방식으로 운영된다.
그림 4. M3RX의 다크웹 유출 사이트
2026년 3월 등장한 M3RX 그룹은 다크웹 유출 사이트에 총 15건의 피해 사례를 게시한 것으로 확인됐다. 해당 그룹은 다크웹 유출 사이트에 피해 기업 정보와 탈취 데이터 목록을 게시하고, 데이터 구매 또는 접근을 원하는 이용자는 TOX를 통해 연락하도록 유도하고 있다.
• Top5 랜섬웨어
그림 5. 산업/국가별 주요 랜섬웨어 공격 현황
2026년 4월 Qilin 그룹은 총 114건의 피해 사례를 게시하며 가장 많은 피해 건수를 기록했다. 이는 3월 143건과 비교하면 감소한 수치이나, 2025년 10월 이후 매월 세 자릿수 이상의 피해 사례를 지속적으로 게시하고 있어 여전히 랜섬웨어 생태계에서 가장 위협적인 그룹 중 하나로 평가된다.
TheGentlemen 그룹은 2026년 4월 총 70건의 피해 사례를 게시하며 두 번째로 많은 피해 건수를 기록했다. 해당 그룹은 2025년 9월 처음 등장한 이후 같은 해 12월부터 2026년 2월까지 피해 건수가 꾸준히 증가했으나, 2월 90건을 기록한 뒤 3월 75건, 4월 70건으로 감소하며 최근에는 하락세를 보이고 있다.
DragonForce 그룹은 2023년 12월부터 활동을 이어온 랜섬웨어 그룹으로, 2025년 3월 카르텔 형태로 운영 구조를 전환하며 계열사 중심의 생태계를 강화했다. 이를 통해 계열사는 동일한 명칭을 사용하지 않더라도 자체 브랜드와 별도의 다크웹 유출 사이트를 운영할 수 있었으며, DragonForce는 관련 인프라를 제공하는 방식으로 영향력을 확대했다. 피해 사례 게시 추이를 보면, 2026년 1월부터 매월 증가세를 보였으며, 4월에는 세 번째로 많은 피해 건수를 기록했다.
Akira 그룹은 2023년 처음 등장한 이후 현재까지 활동을 이어오며 꾸준히 피해 사례를 게시하고 있다. 2026년 4월에는 총 52건의 피해 사례를 게시하며 네 번째로 많은 피해 건수를 기록했다. 이는 3월 82건과 비교하면 감소한 수치이나, 등장 이후 현재까지 활동을 중단하지 않고 매월 피해 사례를 게시하고 있다는 점에서 여전히 주요 랜섬웨어 위협 그룹 중 하나로 파악된다.
CoinbaseCartel 그룹은 2025년 9월 처음 등장한 그룹으로, 2026년 4월 총 42건의 피해 사례를 게시하며 다섯 번째로 많은 피해 건수를 기록했다. 해당 그룹은 등장 초기부터 파일 암호화보다 데이터 탈취와 유출 협박에 초점을 맞춘 운영 방식을 보여왔다. 현재까지 공개된 사례에서는 피해 시스템을 암호화해 운영을 중단시킨 정황은 확인되지 않았으며, 탈취 데이터를 공개하거나 판매하겠다고 압박하는 방식이 주요 협박 수단으로 활용되고 있다. 특히 이들은 기업 접근 권한 보유자, 내부자, 기밀 자료 보유자 등을 모집하고 있으며, 이미 확보된 접근 권한이나 탈취 데이터를 기반으로 유출 협박을 전개하려는 운영 방식을 보이고 있다.
■ 랜섬웨어 집중 포커스
그림 6. KryBit의 다크웹 유출 사이트
2026년 4월 등장한 KryBit 랜섬웨어 그룹은 등장 이후 총 24건의 피해 사례를 게시한 것으로 확인된다. 이들은 자체 다크웹 유출 사이트를 통해 계열사 모집을 홍보하고 있으며, 계열사 모집 안내에 따르면 수익의 80%를 계열사에 배분하는 방식으로 운영된다. 또한 TOX를 통해 인증 정보를 전달한 뒤 전용 대시보드에 접근하는 방식을 사용하고 있으며, Windows뿐만 아니라 Linux, ESXi 3, NAS 4 환경을 대상으로 한 랜섬웨어도 지원한다고 안내하고 있다.
그림 7. 유출된 KryBit의 데이터베이스
4월 중순경 KryBit 그룹은 경쟁 랜섬웨어 그룹인 0APT의 공격을 받아 자체 다크웹 유출 사이트 관련 데이터베이스가 유출되는 사건이 발생했다. 0APT는 2026년 4월 13일 KryBit의 관리자 패널 등 운영 인프라 자료를 유출했다고 주장했으며, 해당 자료에는 KryBit 운영자, 계열사, 피해자 협상 정보 등이 포함된 것으로 파악됐다. 공개된 자료에 따르면 당시 KryBit은 관리자 2명, 계열사 5명, 잠재적 피해자 약 20건을 보유하고 있었으며, 피해자별 탈취 데이터 규모는 10~250GB, 요구 금액은 4만~10만 달러 수준으로 확인됐다. 다만 확인된 비트코인 지갑에서는 입금 내역이 확인되지 않아 실제 수익 발생 여부는 불분명하다. 유출된 데이터베이스는 이후 0APT 그룹의 다크웹 유출 사이트에서 공개됐으며, KryBit은 서버 설정 오류로 phpMyAdmin 패널이 외부에 노출되면서 데이터베이스가 유출되었다고 해명했다. 다만 이들은 해당 사고가 운영에는 영향을 미치지 않았으며, 복호화 프로그램은 탈취되지 않았다고 주장했다.
KryBit 그룹은 다크웹 유출 사이트가 침해되어 내부 데이터베이스가 유출되는 사건을 겪었음에도, 빠르게 인프라를 복구한 뒤 지속적으로 피해 사례를 게시하며 활동을 이어가고 있다. 이에 본 보고서는 향후 발생할 수 있는 위협에 대비하기 위해 KryBit 랜섬웨어의 Windows 샘플 분석 내용을 공유하고자 한다.
그림 8. KryBit 랜섬웨어 개요
• 랜섬웨어 전략
그림 9. 랜섬웨어 공격 전략
KryBit 랜섬웨어는 실행 인자를 통해 암호화 대상을 제어할 수 있도록 설계되어 있다. 공격자는 인자를 사용해 특정 경로 또는 네트워크 공유 폴더만 암호화 대상으로 지정할 수 있으며, 별도 인자 없이 실행할 경우 로컬 드라이브와 네트워크 공유 폴더를 자동으로 탐색해 암호화를 수행한다. 이때 사용되는 주요 실행 인자와 기능은 아래 표와 같다.
| 인자 | 설명 |
| -Debug | 디버그 출력 및 오류 로그 기록 활성화 |
| -shares | 지정한 네트워크 공유 경로만 암호화 대상으로 처리 |
| -paths | 지정한 경로만 암호화 대상으로 처리 |
| -sf | 네트워크 공유 폴더 탐색을 로컬 드라이브 탐색보다 먼저 수행 |
표 1. 랜섬웨어 실행 인자
또한 -shares 혹은 -paths 인자 없이 실행되는 경우, KryBit 은 중복 실행을 방지하기 위해 랜섬웨어 내부에 포함되어 있는 “KRYBITKJFKHNKBJjhdsfks” 문자열을 사용해 뮤텍스 5를 생성한다.
-paths 인자가 지정되지 않은 경우, 랜섬웨어는 사전에 정의된 예외 대상을 제외한 모든 파일을 암호화하며 확인된 예외 대상은 아래 표와 같다.
| 암호화 예외 폴더명 |
| Windows, Windows.old, Program Files, Program Files (x86), ProgramData, AppData, All Users, $Recycle.Bin, Recycle, Boot, Tor Browser, Internet Explorer, Google, Opera, Opera Software, Mozilla, Mozilla Firefox |
| 암호화 예외 확장자 및 파일명 |
| .exe, .msi, .dll, .sys, .KRYBIT, desktop.ini, thumbs.db, ntuser.dat, ntuser.dat.log, ntuser.ini, bootmgr, bootmgr.efi, bootmgfw.efi, bootsect.bak, boot.ini, bootfont.bin, autorun.inf, iconcache.db, RECOVER-README.txt |
또한 원활한 암호화 수행을 위해 파일 사용을 방해할 수 있는 특정 프로세스와 서비스를 우선 종료한다. 확인된 종료 대상 서비스 및 프로세스 목록은 아래와 같다.
| 종료 서비스 |
| memtas, mepocs, sophos, veeam, backup, GxVss, GxBlr, GxFWD, GxCVD, GxCIMgr, DefWatch, ccEvtMgr, ccSetMgr, SavRoam, RTVscan, QBFCService, QBIDPService, Intuit.QuickBooks.FCS, QBCFMonitorService, YooBackup, YooIT, zhudongfangyu, stc_raw_agent, VSNAPVSS, VeeamTransportSvc, VeeamDeploymentService, VeeamNFSSvc, PDVFSService, BackupExecVSSProvider, BackupExecAgentAccelerator, BackupExecAgentBrowser, BackupExecDiveciMediaService, BackupExecJobEngine, BackupExecManagementService, BackupExecRPCService, AcrSch2Svc, AcronisAgent, CASAD2DWebSvc, CAARCUpdateSvc |
| 종료 프로세스 |
| sql.exe, oracle.exe, ocssd.exe, dbsnm.exe, synctime.exe, agntsvc.exe, isqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, encsvc.exe, firefox.exe, tbirdconfig.exe, mydesktopqos.exe, ocomm.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, steam.exe, thebat.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe, notepad.exe |
그림 10. 암호화 키 생성 방식
KryBit 랜섬웨어는 파일 암호화를 위해 파일마다 고유한 개인키(A)를 생성한다. 이후 하드코딩된 공격자의 공개키(B)와 Curve25519 연산을 수행해 공유 비밀(C)을 만든다. 이때 공유 비밀이란, Curve25519 알고리즘에서 양측이 각자의 개인키와 상대방의 공개키만으로 동일하게 계산되는 값을 의미한다. 즉, 피해자의 개인키(A)와 공격자의 공개키(B)로 계산한 값(C)은, 공격자의 개인키(D)와 피해자의 공개키(E)로 계산한 값(F)과 동일하며, 이 동일한 값(C, F)을 공유 비밀이라고 한다. 이때 생성된 공유 비밀은 바로 사용되지 않고, SHA512 알고리즘으로 해시값을 생성한 뒤 암호화 키로 사용하며, HC-128 알고리즘으로 파일 암호화를 수행한다. 암호화가 완료되면 파일의 끝에 피해자의 공개키(E)를 저장한다. 공격자는 이 공개키(E)와 자신이 보유한 개인키(D)를 이용해 공유 비밀을 다시 계산할 수 있으며, 같은 방식으로 해시를 적용해 파생키를 생성함으로써 해당 파일을 복호화할 수 있다.
그림 11. 파일 암호화 방식
KryBit은 파일 크기에 따라 암호화 범위를 달리하는 ‘부분 암호화’ 방식을 사용한다. 64Bytes 이하 파일은 전체를 암호화하며, 64Bytes 초과 5MB 이하 파일은 파일 시작 지점부터 전체 파일 크기의 10%를 암호화한다. 5MB 초과 20MB 이하 파일은 전체 파일을 3개 구간으로 나눈 뒤 각 구간에서 1MB씩 암호화하며, 20MB를 초과하는 파일은 10MB 간격으로 이동하면서 각 위치에서 1MB씩 암호화한다. 암호화가 완료된 파일 끝에는 키 복구에 필요한 공개키와 해당 파일에 적용된 암호화 모드 정보가 포함된 메타데이터 블록이 추가된다. 이 메타데이터 블록에는 “choung dong looks like hot dog!!” 문자열도 함께 저장되는데, 해당 문자열은 Babuk 기반 랜섬웨어에서 반복적으로 확인된 마커라는 점에서, KryBit이 Babuk 계열 랜섬웨어 또는 유출된 Babuk 소스코드를 기반으로 제작됐을 가능성을 시사한다.
• 랜섬웨어 대응방안
그림 12. 랜섬웨어 대응방안
KryBit 랜섬웨어는 드라이브 및 디렉터리 탐색 등을 통해, 암호화에 앞서 대상과 시스템 환경을 확인한다. 이에 따라 ASR 6 규칙을 활성화해 비정상적인 프로세스 동작과 의심스러운 파일 접근 행위를 차단하고, 행위 기반 탐지 솔루션을 통해 비정상적인 파일 탐색, 프로세스 조회, 파일 접근 행위를 조기에 탐지할 필요가 있다.
또한 EDR 솔루션 도입과 최신 보안 패치 적용을 통해, 취약점 악용에 따른 침투나 비정상 행위를 신속히 식별하고 차단할 수 있도록 해야 한다. 백업 복사본은 별도의 네트워크 구간, 외부 저장소, 오프라인 매체 등에 주기적으로 분산 보관하여 시스템이 암호화가 되더라도 데이터 복구가 가능하도록 해야 한다. 이때 백업 장치에 대한 접근 권한을 최소화하고, 정기적인 복구 테스트를 실시해 백업 데이터의 무결성을 확보해야 한다.
마지막으로 KryBit 랜섬웨어는 네트워크 공유 파일도 암호화 대상에 포함하므로, 네트워크 공유 자원의 접근 권한을 최소화하고 불필요한 공유 설정을 비활성화할 필요가 있다.
• IoCs
| Hash(SHA-256) |
| DAB06E47581B87C21699BB1126B7CB2370CF86D069AD25B9B86CFF8E450D7E29 |
■ 참고 사이트
Anwangxia: (https://www.anwangxia.com/4808.html) Bleepingcomputer: (https://www.bleepingcomputer.com/news/security/critrical-cpanel-flaw-mass-exploited-in-sorry-ransomware-attacks) Bleepingcomputer: (https://www.bleepingcomputer.com/forums/t/815795/sorrygo-ransomware-sorry-extension-support-topic/)
1 cPanel/WHM: 웹 호스팅 서버 관리를 위한 제어판 소프트웨어 제품, WHM은 서버 관리자나 호스팅 사업자가 여러 계정과 서버 설정을 관리하는 관리자용 인터페이스이며, cPanel은 개별 웹사이트 운영자가 도메인, 파일, 메일, 데이터베이스 등을 관리하는 사용자용 인터페이스를 의미
2 TOX: 종단간 암호화 기반의 P2P 메신저 프로토콜로, 계정 가입이나 중앙 서버 없이 고유한 TOX ID를 통해 사용자 간 통신이 가능
3 ESXi: 하나의 물리 서버에서 여러 가상머신을 운영할 수 있도록 지원하는 가상화 플랫폼
4 NAS(Network Attached Storage): 네트워크에 연결해 여러 사용자가 파일을 저장 및 공유할 수 있도록 구성된 저장장치
5 뮤텍스(Mutex): 하나의 자원에 여러 스레드 혹은 프로세스가 동시에 접근하지 못하도록 하는 동기화 매커니즘으로, 랜섬웨어에서는 흔히 중복 실행 방지를 위해 사용한다.
6 ASR (Attack Surface Reduction): 공격자가 사용하는 특정 프로세스와 실행할 수 있는 프로세스를 차단하는 보호기능