Keep up with Ransomware
확산되는 Bavacai 랜섬웨어 위협
■ 개요
2026년 5월 랜섬웨어 피해 사례 수는 지난 4월(779건) 대비 하락한 734건으로 집계됐다.
2026년 5월 4일, 랜섬웨어 그룹 The Gentlemen의 데이터베이스가 침해되어 일부 운영 자료가 유출된 것으로 확인됐다. 유출 자료에는 내부 계정 정보, 외부에서 탈취된 자격증명 활용 방식 EDR 1 우회 도구 공유, 피해자 협상 및 수익 배분 방식 등이 포함되어 있었으며, 이를 통해 The Gentlemen 그룹의 운영 구조가 드러났다. 이와 함께 피해자 협상 내역도 일부 확인됐으며, 초기 요구 금액이 250,000달러였던 협상에서 최종적으로 190,000달러에 합의한 사례가 확인됐다. 또한 영국 소프트웨어 컨설팅 업체 Adaptavist에서 탈취한 자료를 터키 기업 Arçelik 관련 협상에 재활용하고, Adaptavist가 침해 경로를 제공한 것처럼 주장한 정황도 확인됐다.
Qilin 그룹은 Check Point Remote Access VPN에서 발견된 인증 우회 취약점(CVE-2026-50751)을 악용하였다. 해당 취약점은 더 이상 권장되지 않는 IKEv1 키 교환 프로토콜 환경에서 인증서 검증 절차가 제대로 수행되지 않아 발생한 것으로, 인증되지 않은 사용자도 유효한 비밀번호 없이 원격 액세스 VPN 세션을 생성할 수 있었다. 공격자는 이를 악용하여 내부 네트워크에 침투한 뒤, 서버에서 Qilin 랜섬웨어를 실행해 파일을 암호화했다.
2026년 5월 한 달간 국내를 겨냥한 공격은 제조 분야에서 2건, 대학교를 대상으로 한 공격 1건으로 총 3건으로 집계되었다. 이는 지난 4월 2건 대비 1건 증가한 수치이다.
5월 국내를 대상으로 공격한 랜섬웨어 그룹은 CoinbaseCartel과 Nova로 확인되었다. CoinbaseCartel은 5월 11일 국내 제조업체를 공격해 자료를 탈취했다고 주장하였으나, 현재까지 탈취 자료의 공개는 확인되지 않았다. Nova 그룹은 5월 17일 국내 제조업체를 공격해 내부 자료를 탈취했다고 게시하였으며, 5월 30일에는 국내 대학을 공격해 약 60GB 규모의 데이터를 탈취했다고 주장했다.
■ 랜섬웨어 뉴스
그림 1.랜섬웨어 동향
■ 랜섬웨어 위협
그림 2. 2026년 5월 랜섬웨어 위협 현황
• 새로운 위협
2026년 5월에는 신규 랜섬웨어 그룹 9개가 등장했다. 확인된 랜섬웨어 그룹은 모두 다크웹 유출 사이트를 보유하고 있으며, 0Day 그룹을 제외한 나머지 그룹들은 다크웹 유출 사이트를 운영하며 활동을 이어가고 있는 것으로 확인된다.
그림 3. CmdOrganization의 다크웹 유출 사이트
2026년 3월 등장한 CmdOrganization 그룹은 다크웹 유출 사이트에 총 19건의 피해 사례를 게시하며 활동을 이어가고 있다. 해당 그룹은 다크웹 유출 사이트에서 비트코인 1개당 가격을 달러로 표기하고, 비트코인을 구매할 수 있는 가상화폐 거래소 3곳을 소개하는 등 피해자의 비트코인 구매를 유도하고 있다.
그림 4. Titan의 다크웹 유출 사이트
2026년 5월 등장한 Titan 그룹은 다크웹 유출 사이트에 총 9건의 피해 사례를 게시했다. 해당 그룹은 피해 기업 정보와 탈취 데이터 목록을 게시했다. 또 자체 AI를 활용해 탈취 자료에 포함된 개인정보, 세무자료, 계약서 등을 분석하고 핵심 자산을 식별하며, 피해 기업이 속한 국가 및 사업 지역의 규제 위반 가능성과 법적 리스크를 평가하고 협상 금액을 산정한다고 주장했다.
• Top5 랜섬웨어
그림 5. 산업/국가별 주요 랜섬웨어 공격 현황
2026년 5월 Qilin 그룹은 총 109건의 피해 사례를 게시하며 가장 많은 피해 건수를 기록했다. 이는 4월 114건과 비교하면 소폭 감소한 수치이나, 2025년 10월 이후 매월 세 자릿수 이상의 피해 사례를 지속적으로 게시하며 여전히 높은 위협 수준을 보이고 있다. 또한 5월에는 미국 부동산 서비스 기업 Cushman & Wakefield 침해 사고와 관련하여 Qilin과 ShinyHunters 그룹이 비슷한 시기에 침해를 주장한 사례가 확인되었다. 5월 1일 ShinyHunters가 먼저 내부 자료와 개인정보 탈취를 주장하며 일부 샘플을 게시했고, 이후 5월 4일 Qilin도 동일 기업을 다크웹 유출 사이트에 등록했으나 실제 유출 데이터는 확인되지 않았다.
TheGentlemen 그룹은 2026년 5월 총 77건의 피해 사례를 게시하며 4월 70건 대비 증가한 모습을 보였다. 5월 4일에는 TheGentlemen의 데이터베이스가 침해되어 내부 자료가 유출되는 사건이 발생했다. 해당 자료에 따르면, 이들은 FortiOS/FortiProxy 인증의 우회 취약점인 CVE-2024-55591을 주요 초기 침투 경로로 활용했으며, 이후 랜섬웨어를 실행해 파일 암호화를 진행한 것으로 확인됐다. 또한 CVE-2025-32433 2, CVE-2025-33073 3 등 신규 취약점을 향후 침투에 활용하려는 정황도 확인됐으며, 이를 통해 Fortinet 장비 외의 취약점 기반 침투 경로까지 확대하려는 움직임이 드러났다.
DragonForce 그룹은 5월 54건의 피해 사례를 기록하며, 지난65건의 피해 사례를 기록한 4월 대비 감소세를 보였다. 이들은 5월 19일 미국 부동산 투자 회사인 Taurus Investment Holdings를 공격해 252GB 분량의 내부 자료를 유출했다. 또한 5월 25일에는 미국 금융 평가 기업인 SPH Value를 공격하여 직원 개인정보를 포함한 187GB 규모의 내부 자료를 공개했다.
Akira 그룹은 4월 52건의 피해 사례를 기록했으나, 5월에는 이보다 감소한 45건의 피해 사례를 기록했다. 해당 그룹은 5월 8일 미국의 로펌 Elia Law Firm을 공격해 여권, 운전면허증, 사회보장번호를 포함한 100GB 규모의 데이터를 유출했다.
2023년 7월에 등장해 현재까지 801건의 피해 사례를 기록한 INC 랜섬웨어 그룹은 RaaS 4 모델을 기반으로 활동하고 있다. 이들은 2024년 4월 소스코드 판매 정황이 확인된 뒤에도 활동을 중단하지 않았으며, C/C++ 버전 이후 Rust 언어로 제작된 새로운 버전으로 활동을 이어가고 있다. 또한 2026년 5월에는 31건의 피해 사례를 기록하며, 5월 기준 다섯 번째로 많은 피해를 발생시킨 그룹으로 확인됐다.
■ 랜섬웨어 집중 포커스
그림 6. Bavacai의 다크웹 유출 사이트
2026년 5월 등장한 Bavacai 랜섬웨어 그룹은 등장 이후 총 25건의 피해 사례를 다크웹 유출 사이트에 게시했다. 이들의 유출 사이트에는 피해 기업의 탈취 데이터 목록뿐만 아니라, 침해된 인프라와 관련된 로그인 계정, 비밀번호, 도메인 정보 등이 함께 기재되어 있어 피해 기업에 대한 추가적인 압박 수단으로 활용되고 있다.
그림 7. Bavacai 및 Baradai 랜섬웨어 랜섬노트 비교(상: Bavacai, 하: Baradai)
또한 Bavacai 랜섬웨어와 같은 달 발견된 Baradai 랜섬웨어의 랜섬노트 내용을 비교한 결과, 두 랜섬웨어가 동일한 다크웹 유출 사이트와 Tox ID를 공유하는 것으로 확인되었다. 이는 두 랜섬웨어 간 운영 주체가 동일하거나, 인프라를 공유하는 등 연계 관계가 존재할 가능성을 시사한다.
이에 본 보고서는 향후 발생할 수 있는 위협에 대비하기 위해 Bavacai 랜섬웨어의 샘플 분석 내용을 공유하고자 한다.
그림 8. Bavacai 랜섬웨어 개요
• 랜섬웨어 전략
그림 9. 랜섬웨어 공격 전략
Bavacai 랜섬웨어는 실행 인자를 통해 암호화 대상을 제어할 수 있도록 설계되어 있다. 공격자는 인자를 사용해 특정 경로 또는 네트워크 공유 폴더만 암호화 대상으로 지정할 수 있으며, 백업 삭제 명령과 백업 기능을 수행하는 프로세스 및 서비스 종료 기능을 실행하지 않도록 설정할 수 있다. 이때 사용되는 주요 실행 인자와 기능은 아래 표와 같다.
| 인자 | 설명 |
| -help | 사용 가능한 실행 인자와 도움말 메시지를 출력 |
| -skip_misc | 백업 삭제 명령과 프로세스, 서비스 종료 행위를 수행하지 않음 |
| -network | 로컬 드라이브가 아닌 네트워크/원격 드라이브만 대상으로 암호화를 수행 |
표1. 랜섬웨어 실행 인자
Bavacai 랜섬웨어는 실행 시 드라이브를 순차적으로 탐색해 모든 디렉터리를 확인한 뒤, 해당 위치에 랜섬노트를 생성하고 암호화 대상을 식별해 암호화를 수행한다. 이때 특정 경로, 확장자 및 파일명은 암호화 대상에서 제외한다. 확인된 예외 대상은 아래 표와 같다.
| 암호화 예외 폴더명 |
| Windows, Windows.old, Program Files, Program Files (x86), ProgramData, AppData, All Users, Tor Browser, Internet Explorer, Google, Opera, Opera Software, Mozilla, Mozilla Firefox, perflogs, Intel, HP, AMD, Dell, Drivers, inetpub, Boot, EFI, Anydesk |
| 암호화 예외 확장자 및 파일명 |
| .dll, .sys, ,msi .readtext*, .readtext95, .BAVACAI, WHATS_HAPPEND.txt |
또한 암호화 대상 파일에 접근하기 위해 파일을 점유하고 있는 특정 프로세스와 서비스를 우선 종료한다. 확인된 종료 대상 서비스 및 프로세스 목록은 아래와 같다
| 종료 서비스 |
| MSSQLServerADHelper100, MSSQL$ISARS, MSSQL$MSFW, SQLAgent$ISARS, SQLAgent$MSFW, SQLBrowser, REportServer$ISARS, SQLWriter |
| 종료 프로세스 |
| sqlbrowser.exe, sql writer.exe, sqlserv.exe, msmdsrv.exe, MsDtsSrvr.exe, sqlceip.exe, fdlauncher.exe, Ssms.exe, SQLAGENT.EXE, fdhost.exe, ReportingServicesService.exe, msftesql.exe, pg_ctl.exe, postgres.exe |
이후 암호화가 완료되면 복구를 방해하기 위해 VSS(Volume Shadow Copy Service)를 통해 생성된 섀도 복사본을 비롯한 Windows 백업 및 시스템 상태 백업 데이터를 삭제한다. 아래는 해당 목적을 위해 사용된 명령어 목록이다.
| VSS 및 시스템 백업데이터 삭제 |
| vssadmin.exe Delete Shadows /All /Quiet |
| wbadmin delete backup -keepVersion:0 -quiet |
| wbadmin DELETE SYSTEMSTATEBACKUP |
| wbadmin DELETE SYSTEMSTABACKUP -deleteOldest |
| wmic.exe SHADOWCOPY /nointeractive |
Bavacai 랜섬웨어는 암호화 대상 파일마다 32 byte 길이의 ChaCha20 키를 생성하고, 이를 이용해 파일 데이터를 변환한다. 이후 파일 복호화에 필요한 해당 키를 RSA 알고리즘으로 보호한 뒤, 암호화된 파일 내부에 저장한다.
그림 10. 파일 암호화 방식
Bavacai 랜섬웨어는 파일 크기에 따라 암호화 범위를 달리하는 부분 암호화 방식을 사용한다. 파일 크기가 335MB 이하인 경우 전체 파일을 암호화하며, 335MB를 초과하고 1GB 이하인 경우에는 파일 시작 부분의 335MB만 암호화한다. 1GB를 초과하는 파일의 경우 파일의 맨 앞과 끝 335MB를 각각 암호화한다.
• 랜섬웨어 대응방안
그림 11. 랜섬웨어 대응방안
Bavacai 랜섬웨어는 암호화에 앞서 드라이브 및 디렉터리 탐색 등을 통해 대상과 시스템 환경을 확인한다. 이에 따라 ASR 5 규칙을 활성화해 비정상적인 프로세스 동작과 의심스러운 파일 접근 행위를 차단하고, 행위 기반 탐지 솔루션을 통해 비정상적인 파일 탐색, 프로세스 조회, 파일 접근 행위를 조기에 탐지할 필요가 있다.
또한 EDR 솔루션 도입과 최신 보안 패치 적용을 통해 취약점 악용에 따른 침투나 비정상 행위를 신속히 식별하고 차단할 수 있도록 해야 한다. 백업 복사본은 별도의 네트워크 구간, 외부 저장소, 오프라인 매체 등에 주기적으로 분산 보관하여 시스템이 암호화되더라도 데이터 복구가 가능하도록 해야 한다. 이때 백업 장치에 대한 접근 권한을 최소화하고, 정기적인 복구 테스트를 실시해 백업 데이터의 무결성을 보장해야 한다.
• IoCs
| Hash(SHA-256) |
| 86B4D075D5BD0C49CBB21FD43935789B6612A2165273CC158DD0607B68941D04 |
■ 참고 사이트
Check Point Research: (https://research.checkpoint.com/2026/thus-spoke-the-gentlemen/) Bank Info Security: (https://www.bankinfosecurity.com/tables-turned-gentlemen-ransomware-group-suffers-data-leak-a-31654) Halcyon: (https://www.halcyon.ai/ransomware-research-reports/threat-assessment-the-gentlemen-ransomware-group) DarkReading: (https://www.darkreading.com/threat-intelligence/gentlemen-raas-gang-data-leak) Help Net Security: (https://www.helpnetsecurity.com/2026/06/08/check-point-cve-2026-50751-qilin-ransomware) Check Point: (https://blog.checkpoint.com/security/check-point-releases-important-hotfix-for-vulnerabilities-in-deprecated-ikev1-vpn-protocol/) Field Effect: (https://fieldeffect.com/blog/ransomware-check-point-vpn-vulnerability#:~:text=Check%20Point%E2%80%99s%20Remote%20Access%20VPN,Access%20VPN%20or%20Mobile%20Access) Cyberdaily.au: (https://www.cyberdaily.au/security/13553-real-estate-giant-cushman-wakefield-confirms-cyber-incident-qilin-and-shinyhunters-claim-attack#:~:text=The%20fight%20for%20attribution%20%E2%80%93,Qilin%20or%20ShinyHunters)
1 EDR(Endpoint Detection and Response): 엔드포인트에서 이상 행위를 탐지, 분석하고 대응하는 보안 솔루션
2 CVE-2025-32433: Erlang/OTP SSH 서버의 인증 전 원격 코드 실행 취약점으로, 인증되지 않은 공격자가 SSH 프로토콜 메시지 처리 결함을 악용해 임의 명령을 실행할 수 있는 취약점
3 CVE-2025-33073: Windows SMB의 부적절한 접근 제어 취약점으로, 인증된 공격자가 네트워크를 통해 권한 상승을 시도할 수 있는 취약점
4 RaaS (Ransomware-as-a-Service): 랜섬웨어를 서비스 형태로 제공해서 누구나 쉽게 랜섬웨어를 만들고 공격할 수 있도록 하는 비즈니스 모델
5 ASR (Attack Surface Reduction): 공격자가 사용하는 특정 프로세스와 실행할 수 있는 프로세스를 차단하는 보호기능