US recovers most of Colonial Pipeline's $4.4M ransomware payment 미 법무부가 Colonial Pipeline에서 DarkSide에 지불한 랜섬머니 440만 달러 중 대부분을 회수한 것으로 나타났습니다. 지난 5월 4일, Colonial Pipeline은 DarkSide 랜섬웨어 공격을 받아 연료 파이프라인 운영을 중단했습니다. 이로 인해 사람들이 휘발유를 비축하기 시작해 일시적인 연료 부족을 겪었습니다. 사건의 특성상 매우 치명적인 영향을 끼칠 수 있기 때문에, Colonial Pipeline은 DarkSide 랜섬웨어 측에 440만 달러를 지불하고 복호화 키를 받아 신속히 시스템을 다시 운영할 수 있었습니다. 하지만 미 정부와 법 집행기관의 조사가 증..

국내외 보안동향 2021. 6. 8. 14:00

Surge of MongoDB ransom attacks use GDPR as extortion leverage 안전하지 않은 MongoDB 서버의 데이터베이스를 삭제하는 대규모 공격이 발생하고 있는 것으로 나타났습니다. 피해자는 랜섬머니를 지불하지 않으면 데이터를 유출시킨 후 GDPR 위반으로 신고한다는 협박을 받고 있었습니다. 비영리 단체인 GDI Foundation의 Victor Gevers은 공격자들이 인터넷에서 보호되지 않은 MongoDB 서버를 찾고 있는 것을 발견했습니다. 공격자는 서버에 접근하는데 성공한 후 데이터베이스를 삭제하고 "READ_ME_TO_RECOVER_YOUR_DATA"라는 새로운 데이터베이스를 생성합니다. 이 데이터베이스에는 데이터가 “백업”되었으며 피해자는 데이터 복구를 ..

국내외 보안동향 2020. 7. 3. 16:00

Sodinokibi Ransomware crew chooses Monero for ransom payments Sodinokibi 랜섬웨어 배후에 있는 공격자들이 랜섬머니로 비트코인 대신 모네로 가상화폐를 요구하고 있는 것으로 나타났습니다. 법 집행 기관의 조사를 더욱 어렵도록 만들기 위함인 것으로 보입니다. 이들은 더 이상 랜섬머니를 비트코인으로 받지 않을 예정입니다. 모네로를 지불하기 위해 Tor 익명 네트워크를 사용하면 자금의 흔적을 추적하고 익명 공격자의 신상을 밝혀내기가 불가능해집니다. 모네로 가상화폐 체계의 모든 거래는 CryptoNote 애플리케이션 계층 프로토콜과 이 프로토콜에 구현된 난독화로 인해 익명으로 이루어집니다. “더 이상 랜섬머니로 BTC를 받지 않음을 알려드립니다. 피해자와 파..

국내외 보안동향 2020. 4. 14. 09:22

안녕하세요 ESRC 입니다. 최근 소디노키비(Sodinokibi) 랜섬웨어의 커스텀 변종이 자주 발견되고 있어 사용자들의 주의가 필요합니다. 랜섬웨어의 커스텀 변종이란, 기존 랜섬웨어 랜섬노트의 텍스트 일부를 해커가 임의로 수정한 버전을 말합니다. 소디노키비(Sodinokibi) 랜섬웨어의 커스텀 변종은 기존 소디노키비(Sodinokibi) 랜섬웨어 변종들과 동일한 특징을 갖고 있지만, 일부 랜섬노트의 파일명과 내용을 일부 변경하였습니다. [그림1] 기존 Sodinokibi 랜섬웨어 랜섬노트 [그림2] Sodinokibi 랜섬웨어 커스텀 변종 랜섬노트 이런 랜섬웨어 커스텀 변종들의 경우 주로 특정 타겟에 맞춰 커스터마이징 하는 특징을 갖고 있습니다. 일례로, 연말에 유포된 소디노키비(Sodinokibi)..

악성코드 분석 리포트 2020. 1. 14. 13:14

Beware of GermanWiper – the ransomware that is not ransomware 데이터 와이퍼 악성코드가 피해자의 중요한 파일을 삭제하고, 피해자들에게 파일 복구를 위한 랜섬머니를 요구하고 있습니다. 하지만, 이 랜섬웨어 캠페인은 거짓이며 운영자들은 데이터를 복구해줄 의도가 없는 것으로 나타났습니다. 지난주, 독일어 사용 지역에 확산된 한 랜섬웨어 캠페인이 감염시킨 모든 엔드포인트의 데이터를 삭제한다는 제보가 잇따랐습니다. 하지만, 이 랜섬웨어의 공격을 받은 지역은 독일어 사용 지역만이 아니었습니다. GermanWiper란? 보통 와이퍼(wiper) 멀웨어는 사용자의 데이터를 훼손하는 악성코드로 유명한데, 이번에 발견된 와이퍼 멀웨어의 경우 독일어 사용지역에서 주로 발견되어..

국내외 보안동향 2019. 8. 6. 17:00

RobbinHood Ransomware Claims It's Protecting Your Privacy 현재 활동 중인 새로운 랜섬웨어 RobbinHood가 발견되었습니다. 이 랜섬웨어는 네트워크 전체를 노리며 접근 가능한 모든 컴퓨터를 암호화시킵니다. 이후 감염된 컴퓨터 한 대 또는 감염된 네트워크 전체의 암호화를 해제하는 조건으로 비트코인을 요구합니다. 현재 이 랜섬웨어에 대해 알려진 사실은 많지 않으며, RobbinHood의 샘플 또한 발견되지 않았습니다. 하지만 피해자들로부터 랜섬노트 및 암호화된 파일을 얻어, 이 랜섬웨어가 어떻게 작동하는지 추측할 수 있었습니다. 특이한 점은, 피해자의 프라이버시를 중요하게 생각하여 돈을 지불한 피해자가 누구인지 공개하지 않을 것이라고 강조한다는 점입니다. Ro..

국내외 보안동향 2019. 4. 15. 10:04

Ransomware Pretends to Be Proton Security Team Securing Data From Hackers ProtonMail과 ProtonVPN을 운영하는 Proton Technologies의 보안 팀으로 위장한 GarrantyDecrypt 랜섬웨어의 최신 변종이 발견되었습니다. 이 랜섬웨어 패밀리는 지난 2018년 10월 랜섬웨어 연구원인 Michael Gillespie가 발견했으며, 다른 랜섬웨어와 같이 대규모 배포 공격을 한 적은 없지만 공개된 직후 꾸준히 피해자들이 늘고 있습니다. 사용자들은 ID-Ransomware에 이 랜섬웨어의 랜섬노트나 암호화된 파일을 꾸준히 등록하고 있습니다. [그림] GarrantyDecrypt의 등록 현황 지난 2월 또 다시 발견된 Garra..

국내외 보안동향 2019. 3. 5. 14:33

Cr1ptT0r Ransomware Infects D-Link NAS Devices, Targets Embedded Systems 임베디드 시스템용으로 제작된 새로운 랜섬웨어인 Cr1ptT0r가 인터넷에 노출된 NAS 장비를 노리는 것으로 나타났습니다. Cr1ptT0r는 한 사용자가 D-Link DNS-320 장비가 랜섬웨어에 감염된 것을 Bleeping Computer 측에 제보하여 알려졌습니다. D-Link는 DNS-320 제품을 더 이상 판매하지 않지만, 제품 페이지에는 아직까지 지원 되는 것으로 표시되었습니다. 하지만 최신 펌웨어는 2016년에 출시되었으며, 이 장비를 해킹하는데 사용할 수 있는 많은 알려진 버그들이 존재하는 상태입니다. 아직까지 자세한 정보는 밝혀지지 않았지만, 이 랜섬웨어의 공..

국내외 보안동향 2019. 2. 25. 08:49