안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 갠드크랩 4.1 버전에서 사용된 이미지를 동일하게 사용한 랜섬웨어가 발견되었습니다. 이 이미지는 다음과 같이 러시아 대통령과 러시아 문구가 삽입되어 있습니다. Nemty 랜섬웨어는 주로 입사 지원서를 위장한 메일로 유포되며, 파일명에 긴 공백을 넣어 PDF 파일인 것처럼 위장해 사용자를 속이는 것이 특징입니다. [그림] 암호화 완료 화면 현재 알약에서는 해당 악성 코드를 ‘Trojan.Ransom.Nemty’ 탐지 명으로 진단하고 있으며, 관련 상세 분석보고서는 Threat Inside 웹서비스 구독을 통해 확인이 가능합니다.

악성코드 분석 리포트 2019. 10. 21. 15:40

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2019년 3분기, 알약을 통해 총 22만 9564건의 랜섬웨어 공격이 차단된 것으로 확인되었습니다. 이번 통계는 일반 사용자를 대상으로 제공하는 공개용 알약의 ‘랜섬웨어 행위기반 차단 기능’을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 공격까지 포함하면 전체 공격은 더욱 많은 것으로 예상됩니다. 통계에 따르면 2019년 3분기에 알약을 통해 차단된 랜섬웨어 공격은 총 22만 9564건으로, 이를 일간 기준으로 환산하면 일평균 약 2,496건의 랜섬웨어 공격이 차단된 것으로 볼 수 있습니다. 시큐리티대응센터(이하 ESRC)는 이번 3분기 주요 랜섬웨어 공격동향으로 3가지를 꼽았습니다. 먼저 2019년 2분기에 첫 등장했던 소디노키비(Sod..

전문가 기고 2019. 10. 10. 09:55

FBI Releases Master Decryption Keys for GandCrab Ransomware FBI가 갠드크랩(GandCrab) 랜섬웨어 버전 4, 5, 5.0.4, 5.1, 5.2에 대한 마스터 복호화 키를 공개했습니다. 모든 사용자 및 조직은 이 키를 이용하여 자신만의 갠드크랩 복호화 툴을 만들 수 있습니다. 지난 2019년 6월 1일, 갠드크랩 랜섬웨어의 개발자들은 총 랜섬머니 20억 달러, 개인 수익 1.5억 달러를 달성해 운영을 중단한다고 밝혔습니다. ※ 관련글 바로가기 ▶ 갠드크랩(GandCrab) 랜섬웨어 운영자들, 갠드크랩 운영 중단 예정 밝혀 (2019.06.03)▶ 갠드크랩(GandCrab) 랜섬웨어용 무료 복호화 툴 공개돼 (2019.06.18) 2주 후, 유로폴과 FB..

국내외 보안동향 2019. 7. 17. 10:49

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2019년 2분기 알약을 통해, 총 24만 7천727건의 랜섬웨어 공격이 차단된 것으로 확인되었습니다. 이번 통계는 공개용 알약의 ‘랜섬웨어 행위기반 사전 차단 기능’을 통해 차단된 공격수를 기준으로 집계되었습니다. 통계에 따르면 2019년 2분기에는 알약을 통해 랜섬웨어 공격이 총 247,727건 차단되었으며, 이를 일간 기준으로 환산하면 일평균 약 2,723건의 랜섬웨어 공격이 차단된 것입니다. 이는 일반 사용자를 대상으로 제공하는 공개용 알약의 랜섬웨어 행위기반 차단 기능을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 공격까지 포함하면 전체 공격수는 더욱 많다고 볼 수 있겠습니다. 시큐리티대응센터(이하 ESRC)는 이번 2분기 랜섬웨어 ..

전문가 기고 2019. 7. 11. 10:59

A free Decryptor tool for GandCrab Ransomware released 갠드크랩(GandCrab) 최신 변종에 감염된 피해자들에게 좋은 소식이 있습니다. NoMoreRansomware가 갠드크랩 최신 버전용 무료 복호화 툴을 공개했습니다. 갠드크랩 최신 변종의 피해자들은 NoMoreRansom 웹사이트에 공개된 무료 복호화 툴을 통해 돈을 지불하지 않고도 파일을 복호화할 수 있게 되었습니다. 이 툴은 갠드크랩 버전 1, 4, 그리고 5~5.2로 암호화 된 파일에 사용할 수 있습니다. 유로폴은 이에 대해 아래와 같이 공지했습니다. "6월 17일, 갠드크랩 랜섬웨어 패밀리의 최신 버전용 새로운 복호화 툴이 www.nomoreransom.org에 무료로 공개되었습니다. 이 툴을 이용..

국내외 보안동향 2019. 6. 18. 14:43

GandCrab operators are shutting down their operations 2018년 초 처음 등장하여 지속적으로 발전을 거듭해온 갠드크랩(GandCrab) 랜섬웨어의 운영자들이, 갠드크랩 운영을 중단할 것이라 밝혔습니다. 사이버 보안 회사인 LMNTRIX는 2018년 초 새로운 서비스형 랜섬웨어인 GandCrab을 발견했습니다. 이는 다크웹의 러시안 해킹 커뮤니티에서 홍보되고 있었으며, RIG 및 GrandSoft 익스플로잇 키트를 사용해 악성코드를 배포했습니다. 약 1년이 넘는 기간 동안 갠드크랩 운영자들은 수많은 기능을 갖춘 여러 갠드크랩 버전을 공개했지만, 이제는 운영을 중단하고 협력자들에게 랜섬웨어 배포를 중단할 것을 요청했습니다. 2018년 10월, Cybaze Z-Lab..

국내외 보안동향 2019. 6. 3. 16:26

Hackers are scanning for MySQL servers to deploy GandCrab ransomware 중국 해킹 그룹이 사용자 기기를 갠드크랩(GandCrab) 랜섬웨어에 감염시키기 위해 인터넷에서 MySQL 데이터베이스를 실행 중인 윈도우 서버를 스캐닝 중인 것으로 나타났습니다. Sophos의 수석 연구원인 Andrew Brandt는 허니팟 로그에서 이러한 새로운 공격을 발했습니다. 해커들, 얻을 것이 많은 노출된 MySQL DB 노려 해커들은 인터넷에서 접근 가능한 SQL 명령을 허용하는 MySQL 데이터베이스를 스캔한 후, 서버가 윈도우 환경에서 실행되는지 확인합니다. 그런 다음, 악성 SQL 명령을 사용하여 노출된 서버에 갠드크랩 랜섬웨어를 실행시키는 악성 파일을 심습니다. ..

국내외 보안동향 2019. 5. 28. 13:40

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 구글 검색을 통해 새로운 갠드크랩 랜섬웨어가 유포되고 있는 정황이 발견되었습니다. 이번에 발견된 신종 갠드크랩 랜섬웨어는 "검색명_[랜덤숫자].zip" 형태이며, 사용자가 특정 단어를 구글 사이트를 통해 검색 시, 검색 결과 상단에 노출되어 다운로드 및 실행을 유도합니다. [그림 1] 구글 검색 상단에 위치한 갠드크랩 유포 사이트 만약 사용자가 특정 프로그램을 무료로 다운로드하기 위해 해당 사이트에 들어가면 다음과 같은 다운로드 페이지를 확인할 수 있습니다. [그림 2] 사용자의 클릭을 유도하는 갠드크랩 유포 사이트 해당 링크를 클릭하면 아래와 같이 "검색명_링크_[랜덤숫자].zip" 형태의 압축파일이 다운로드됩니다. [그림 3] ZIP ..

악성코드 분석 리포트 2019. 5. 22. 09:59