안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2021년 올해 첫 새로운 랜섬웨어 패밀리가 발견되었습니다. 이름은 바북 락커(Babuk Locker)이고 지난 4월 워싱턴 DC 경찰서에 침투해 파일을 암호화하고 협박한 것으로 유명합니다. 그러나 얼마 지나지 않아 운영을 중단한 후 5월 말 PayloadBin으로 리브랜딩한 Babuk 랜섬웨어의 소스코드가 한 러시아 해킹 포럼에 게시되었습니다. Babuk 랜섬웨어는 사용자 PC의 데이터를 암호화하여 금전을 요구하는 악성코드입니다. 서비스형 랜섬웨어(RaaS)로 암호화 대상 파일 크기에 따라 암호화 파일 구조가 달라지는 점이 특징입니다. 또한 로컬 드라이브와 네트워크 드라이브로 연결된 모든 파일을 암호화 대상에 포함하고 C&C 연결을 하지..

악성코드 분석 리포트 2021. 9. 23. 09:00

Bitdefender released free REvil ransomware decryptor that works for past victims Bitdefender가 지난 7월 13일 REvil(Sodinokibi) 랜섬웨어 운영이 일시적으로 중단되기 전 감염된 피해자가 사용할 수 있는 마스터 복호화 툴을 무료로 공개했습니다. 7월 2일, REvil 운영자는 MSP와 고객에 영향을 미치는 Kaseya 클라우드 기반 MSP 플랫폼을 공격했습니다. REvil 랜섬웨어 운영자는 먼저 Kaseya VSA의 인프라를 해킹한 후 VSA 온-프레미스 서버에 악성 업데이트를 푸시하는 방식으로 엔터프라이즈 네트워크에 랜섬웨어를 배포했습니다. 이 그룹은 Kaseya 공급망 랜섬웨어 공격의 영향을 받은 모든 시스템을 복호..

국내외 보안동향 2021. 9. 17. 09:00

Russian Ransomware Group REvil Back Online After 2-Month Hiatus 서비스형 랜섬웨어(RaaS)인 REvil의 운영자가 지난 7월 4일 Kaseya를 노린 공격 이후 2개월 간 활동을 중단한 후 복귀했습니다. 해당 그룹의 데이터 유출 사이트인 Happy Blog와 지불/협상 사이트를 포함한 다크웹 포털 두 개가 다시 온라인에 나타났으며, 가장 최근 피해자는 7월 8일에 추가되었습니다. 이는 7월 13일 사이트가 사라지기 5일 전입니다. REvil이 활동을 시작했는지 또는 새로운 공격을 시작했는지는 아직까지 명확히 밝혀지지 않았습니다. Emsisoft의 위협 연구원인 Brett Callow는 지난 화요일 트위터를 통해 아래와 같이 밝혔습니다. "불행히도, Ha..

국내외 보안동향 2021. 9. 10. 14:00

Source code for the Babuk is available on a hacking forum 한 공격자가 러시아어를 사용하는 해킹 포럼에서 Babuk 랜섬웨어의 소스코드를 공개했습니다. Babuk Locker의 운영자는 워싱턴 DC 경찰서에 대한 공격 이후 4월 말에 운영을 중단했습니다. 전문가들은 이 그룹의 결정이 작전 오류로 인한 것으로 추측했습니다. 이들은 워싱턴 D.C. 경찰청에 침투해 파일을 암호화하고 랜섬머니로 400만 달러를 요구했습니다. 5월 말, Babuk 랜섬웨어 운영자는 랜섬웨어 유출 사이트를 Payload.bin으로 리브랜딩하고 다른 조직이 이 사이트를 통해 피해자에게서 훔친 데이터를 공개할 수 있는 기회를 제공하기 시작했습니다. 이 그룹의 일부 멤버는 새로운 서비스형 랜..

국내외 보안동향 2021. 9. 6. 14:00

LockFile Ransomware Bypasses Protection Using Intermittent File Encryption 지난달 새롭게 등장한 랜섬웨어 패밀리가 새로운 기술인 “부분 암호화”를 통해 랜섬웨어 탐지 기술을 우회하는 것으로 나타났습니다. LockFile이라 명명된 이 랜섬웨어는 최근 공개된 취약점인 ProxyShell과 PetitPotam을 악용하여 윈도우 서버를 해킹하고 랜섬웨어를 배포합니다. 이 랜섬웨어는 파일의 16바이트만 암호화하여 랜섬웨어 탐지 기술을 우회합니다. Sophos의 기술 이사인 Mark Loman은 이에 대해 아래와 같이 설명했습니다. “부분 암호화 기술은 일반적으로 랜섬웨어에서 암호화 프로세스의 속도를 높이기 위해 사용하며 BlackMatter, DarkS..

국내외 보안동향 2021. 8. 30. 09:00

Nokia subsidiary discloses data breach after Conti ransomware attack 미국에 본사를 둔 Nokia의 자회사인 SAC Wireless가 Conti 랜섬웨어의 공격을 받아 데이터가 탈취되고 시스템이 암호화됐다고 밝혔습니다. 일리노이주 시카고에 본사를 두고 독립적으로 운영되는 Nokia 회사는 미 전역의 통신사, 주요 타워 소유자, OEM(Original Equipment Manufacturer)과 함께 협력합니다. SAC Wireless는 고객이 5G, 4G LTE, 소형 셀, FirstNet을 포함한 셀룰러 네트워크를 설계, 구축, 업그레이드할 수 있도록 지원합니다. Conti 랜섬웨어가 시스템을 암호화한 후 공격 탐지돼 회사는 지난 6월 16일 Con..

국내외 보안동향 2021. 8. 24. 09:00

SynAck ransomware decryptor lets victims recover files for free Emsisoft에서 피해자가 암호화된 파일을 무료로 복호화할 수 있는 SynAck 랜섬웨어용 복호화 툴을 공개했습니다. SynAck 랜섬웨어는 지난 2017년에 활동을 시작했지만, 2021년에 El_Cometa로 리브랜딩을 했습니다. 공격자는 리브랜딩 작업의 일환으로 Tor 데이터 유출 사이트를 통해 해당 암호화 알고리즘에 대한 마스터 암호 복호화 키와 문서를 공개했습니다. SynAck 복호화 툴 출시돼 Emsisoft가 피해자가 무료로 파일을 복구할 수 있도록 SynAck 랜섬웨어용 복호화 툴을 출시했습니다. 이 툴은 모든 변종을 통해 암호화된 파일에 사용할 수 있습니다. 복호화 툴을 다운..

국내외 보안동향 2021. 8. 23. 14:00

LockFile ransomware uses PetitPotam attack to hijack Windows domains 한 랜섬웨어 운영자가 최근 발견된 PetitPotam NTLM 릴레이 공격 방식을 활용해 전 세계 다양한 네트워크의 윈도우 도메인을 장악하기 시작한 것으로 나타났습니다. 이는 지난 7월 처음 발견된 LockFile이라는 새로운 랜섬웨어의 작업인 것으로 보이며, 다른 그룹과 약간의 유사함을 찾아볼 수 있고, 일부 참조한 것으로 보입니다. DC 접근을 위해 PetitPotam 악용 LockFile 공격은 주로 미국과 아시아의 금융 서비스, 제조업, 엔지니어링, 법률, 비즈니스 서비스, 여행 및 관광업 등의 조직을 노렸습니다. Symantec의 보안 연구원은 공격자가 네트워크 초기 접근을..

국내외 보안동향 2021. 8. 23. 09:00