상세 컨텐츠
본문
Nemty 1.6 Ransomware Released and Pushed via RIG Exploit Kit
RIG 익스플로잇 키트가 새로운 Nemty 랜섬웨어 변종을 포함하는 악성코드를 배포하고 있는 것으로 나타났습니다.
익스플로잇 키트 연구원인 mol69가 처음으로 발견한 이 멀버타이징 캠페인은 Internet Explorer(IE)와 Flash Player를 사용하는 기업 사용자들을 노리며 타깃을 RIG 익스플로잇 키트로 이동시키고 있었습니다.
사용자가 오래된 버전의 프로그램을 실행하면 익스플로잇 키트 랜딩 페이지로 이동됩니다.
그리고 악성 스크립트는 브라우저 취약점을 악용하여 Nemty 1.6 랜섬웨어를 포함한 다양한 악성코드를 설치하려 시도합니다.
가장 눈에 띄는 변화점은 아래와 같이 랜섬 노트에 1.6 버전이라 표기된 것입니다.
[그림 1] Nemty 1.6 랜섬노트
<이미지 출처: https://www.bleepingcomputer.com/news/security/nemty-16-ransomware-released-and-pushed-via-rig-exploit-kit/>
보안회사인 Tesorion는 Nemty 1.6의 암호화 알고리즘이 기존에 사용하던 커스텀 AES에서 윈도우 암호화 라이브러리 사용으로 변경되었다고 말했습니다.
이렇게 암호화 알고리즘을 변경한 이유는 Tesorion이 제작한 복호화 툴이 동작하지 않도록 하기 위한 것으로 추측됩니다.
그러나 Tesorion의 Nemty 복호화 툴은 Nemty 1.6 버전으로 암호화된 파일도 무료로 복호할 수 있기 때문에, 공격자들의 계획은 실패로 돌아갔습니다.
현재 알약에서는 해당 랜섬웨어에 대해 'Trojan.Ransom.Nemty'으로 탐지 중에 있습니다.
출처:
'국내외 보안동향' 카테고리의 다른 글
| 중국 해커들, 새로운 크립토재킹 전략 통해 탐지 회피해 (0) | 2019.10.16 |
|---|---|
| Sudo 결점, 제한 된 리눅스 사용자가 루트 권한으로 명령 실행하도록 허용해 (0) | 2019.10.15 |
| Nemty 랜섬웨어 무료 복호화 툴 공개돼 (0) | 2019.10.11 |
| 트위터, 사용자 계정의 보안을 위해 수집한 전화번호를 광고에 활용해 (0) | 2019.10.10 |
| RobbinHood 랜섬웨어, 피해자의 지불 유도를 위해 과거 사건 이용해 (0) | 2019.10.08 |
댓글 영역