Nemty 1.6 Ransomware Released and Pushed via RIG Exploit Kit RIG 익스플로잇 키트가 새로운 Nemty 랜섬웨어 변종을 포함하는 악성코드를 배포하고 있는 것으로 나타났습니다. 익스플로잇 키트 연구원인 mol69가 처음으로 발견한 이 멀버타이징 캠페인은 Internet Explorer(IE)와 Flash Player를 사용하는 기업 사용자들을 노리며 타깃을 RIG 익스플로잇 키트로 이동시키고 있었습니다. 사용자가 오래된 버전의 프로그램을 실행하면 익스플로잇 키트 랜딩 페이지로 이동됩니다. 그리고 악성 스크립트는 브라우저 취약점을 악용하여 Nemty 1.6 랜섬웨어를 포함한 다양한 악성코드를 설치하려 시도합니다. 가장 눈에 띄는 변화점은 아래와 같이 랜섬 노트..

국내외 보안동향 2019. 10. 14. 14:53

Nemty Ransomware Decryptor Released, Recover Files for Free Nemty 랜섬웨어에 피해를 입은 사용자들이 기뻐할 만한 소식이 있습니다. 보안 연구원들이 무료로 파일을 복호화 할 수 있는 툴을 공개했습니다. Nemty 랜섬웨어는 2019년 8월부터 여러 배포 방법을 통해 유포된 랜섬웨어로, 많은 피해자들을 감염시키고 파일을 암호화했습니다. 보안 회사인 Tesorion의 연구원들은 Nemty 버전 1.4, 1.6용 복호화 툴을 개발했으며, 곧 1.5용 버전도 공개할 예정이라고 전했습니다. 복호화 툴은 현재 일부 파일 확장자만 지원하나 Tesorion 측은 지원 가능한 파일 유형을 매일 추가하고 있다고 밝혔습니다. 현재 지원하는 파일 유형은 아래와 같습니다:avi..

국내외 보안동향 2019. 10. 11. 09:25

You Gave Your Phone Number to Twitter for Security and Twitter Used it for Ads 트위터는 사용자 일부가 이중 인증(2FA)을 위해 트위터에 제공한 전화번호와 이메일 주소를 타깃 광고에 사용했다고 밝혔습니다. 하지만 이는 의도적이 아니었다고도 덧붙였습니다. 트위터는 블로그를 통해 ‘맞춤형 오디언스 및 파트너 대상 광고 시스템’에서 오류가 발생해 사용자가 보안상의 이유로 제공한 정보를 광고주의 마케팅 리스트를 기반으로 한 타깃 광고에 실수로 사용했다고 밝혔습니다. 트워터는 "광고주가 마케팅 리스트를 업로드할 때, 이 리스트의 이메일과 전화번호를 트위터 사용자들이 보안 목적으로 제공한 정보와 매칭했을 수 있습니다. 이는 오류였으며, 이에 대해 사과드..

국내외 보안동향 2019. 10. 10. 10:46

RobbinHood Ransomware Using Street Cred to Make Victims Pay RobbinHoood 랜섬웨어 운영자들이 랜섬노트 언어를 변경함으로써 무료 복호화에 대한 가능성을 모두 제거하고 사용자에게 랜섬을 지불하도록 만들었습니다. 그리고 해커들은 메시지를 통해 랜섬웨어에 감염된 후 랜섬머니 보다 비싼 비용을 치른 과거 사건들을 언급했습니다. 과거 사건 이용 해커들은 현재 RobbinHood 랜섬웨어에 구현된 암호화 체계에 대한 복호화 툴이 없다고 말했습니다. 특히 해커들의 개인 키와 소프트웨어 없이는 파일을 복구하는 것이 불가능하다는 점을 강조했습니다. 공격자는 피해자들에게 노스캐롤라이나 주 그린빌(Greenville) 시스템 감염 사건과, 볼티모어 시의 서버를 공격했던 ..

국내외 보안동향 2019. 10. 8. 10:19

HildaCrypt Ransomware Developer Releases Decryption Keys HildaCrypt 랜섬웨어 개발자가 개인 해독 키를 공개하기로 결정했습니다. 이 키가 있으면 HildaCrypt 랜섬웨어로 암호화된 파일을 무료로 해독할 수 있는 해독기를 만들 수 있습니다. [그림 1] HildaCrypt 랜섬웨어 복호화 키 보안 연구원인 Michael Gillespie는 해당 복호화 키를 받아 진위성을 확인한 후, 이를 이용하여 해독 툴을 만들어 공개했습니다. 키를 열람하거나 이를 이용하여 해독기를 만들고자 할 경우 아래의 링크에서 확인하실 수 있습니다. ※ Emsisoft Decryptor for HildaCrypt:https://www.emsisoft.com/ransomware-..

국내외 보안동향 2019. 10. 7. 09:26

FBI's new ransomware warning: Don't pay up, but if you do, tell us about it 정부 기관들에 대한 랜섬웨어 공격이 빈번히 발생하자, FBI가 랜섬웨어의 요구를 들어주는 것에 대한 새로운 입장을 발표했습니다. 이 대단한 랜섬웨어의 가장 최근 피해자는 미국 알라바마와 호주의 빅토리아에 위치한 병원이었습니다. 양쪽 모두 직원들이 IT 시스템을 복구하기 위한 작업중이었기 때문에 긴급하지 않은 환자들을 돌려보내야 했습니다. 정부 및 의료 서비스 제공처에 대한 공격으로 인해 피해자들은 제대로 백업 되었을지 모르는 데이터로부터 시스템을 복구하는 것이 나은지, 공격자에게 돈을 그냥 지불하는게 나을지 고민해야 했습니다. 다운타임으로 인한 비용이 랜섬 머니보다 클 ..

국내외 보안동향 2019. 10. 4. 10:27

Fake Apps Sneak Gambling Into iOS and Android App Stores 도박 앱들이 정책을 준수하는 앱으로 위장하여 구글 플레이와 앱스토어의 심사를 통과했습니다. 이 앱들은 앱스토어의 정책 검사를 우회한 후, 사용자들이 도박 기능을 사용할 수 있게 만들었습니다. 이 앱들은 지난 8월 안드로이드 공식 스토어에 등록되었습니다. iOS의 경우, 10만 건 이상의 리뷰가 등록된 경우도 있었습니다. 앱스토어 심사 시스템 우회 실제 돈을 걸고 하는 게임 앱에 대한 제한이 더욱 강화돼, 9월 3일을 기준으로 애플 심사의 경우 이 기능에 대한 코드를 바이너리에 포함 시켜야 합니다. 구글 또한 도박 앱이 합법적인 영국, 프랑스, 아일랜드의 안드로이드 스토어에서만 도박 앱을 허용합니다. 하지..

국내외 보안동향 2019. 9. 30. 15:44

Microsoft: New Nodersok malware has infected thousands of PCs 전 세계의 윈도우 컴퓨터 수천 대가 새로운 악성코드에 감염되었습니다. 이 악성코드는 감염된 시스템을 프록시로 변신시키고 클릭 사기를 수행하기 위해 Node.js 프레임워크의 복사본을 다운로드 및 실행합니다. 마이크로소프트가 'Nodersok'으로 시스코는 'Divergent'라 명명한 이 멀웨어는 지난 여름 처음 발견되었습니다. 이 악성코드는 사용자 컴퓨터에 강제로 HTA 파일을 다운로드한 악성광고를 통해 배포되었습니다. HTA 파일을 실행하면 엑셀, 자바스크립트, 파워쉘 스크립트를 동반한 다단계 감염 프로세스를 거쳐 마지막에는 Nodersok 악성코드를 다운로드하고 실행합니다. 이 악성코드는 ..

국내외 보안동향 2019. 9. 27. 11:20