안녕하세요? 이스트시큐리티입니다. 지금 사이버 공간은 마치 ‘랜데믹(랜섬웨어+팬데믹)’이라는 표현을 써도 과언이 아닐 정도로 수년 동안 글로벌 랜섬웨어 위협이 대유행 중입니다. 2017년 국내 웹 호스팅 전문업체 ‘인터넷나야나’가 운영하던 리눅스 웹 서버 300여대 가운데 153대가 일명 ‘에레버스(Erebus)’ 랜섬웨어에 감염되는 사태가 발생했습니다. 해커는 암호화한 데이터를 볼모로 협박을 했고, 회사 측은 고객 데이터 복구를 위해 해커에게 약 13억원 상당의 비트코인을 협상대금과 복호화 비용 명목으로 건네기로 합의했습니다. 이 소식이 알려지자 업계 안팎에서 대응방식을 두고 많은 논란이 일었습니다. >> 관련 글 보기 : 국내 특정 웹호스팅 서비스를 사용하는 사이트를 공격한 Erebus 랜섬웨어 이스..

전문가 기고 2021. 8. 11. 09:00

Linux version of BlackMatter ransomware targets VMware ESXi servers BlackMatter 랜섬웨어 공격 그룹이 VMware의 ESXi 가상 머신 플랫폼을 노리는 리눅스용 암호화 툴을 개발하기 위한 대열에 들어선 것으로 나타났습니다. 기업은 더 나은 리소스 관리 및 재해 복구를 위해 서버용 가상 머신을 점점 더 많이 사용하고 있습니다. 이 중 VMware ESXi가 가장 인기 있는 가상 머신 플랫폼이기 때문에, 기업을 노리는 거의 모든 랜섬웨어들이 가상 머신을 노리는 암호화 툴을 개발하기 시작했습니다. VMware ESXi를 노리는 BlackMatter 8월 4일, 보안 연구원인 MalwareHunterTeam이 BlackMatter 랜섬웨어 그룹의 리..

국내외 보안동향 2021. 8. 6. 14:00

New Ransomware Gangs — Haron and BlackMatter — Emerge on Cybercrime Forums 이번 달, 새로운 서비스형 랜섬웨어(RaaS) 프로그램 2개가 발견되었습니다. 이 중 한 그룹은 지난 몇 달 동안 Colonial Pipeline과 Kaseya에 실행된 주요 공격 이후 활동을 중단한 DarkSide과 Sodinokibi의 후임이라 공언했습니다. 새로운 BlackMatter 그룹의 운영자는 다크넷의 공개 블로그에서 “이 프로젝트는 DarkSide, Sodinokibi, LockBit의 최고의 기능만을 모았다"고 홍보하며 의료 시설 및 석유/가스, 방위, 비영리, 정부 부문과 같은 중요 인프라는 공격하지 않겠다고 약속했습니다. Flashpoint에 따르면, ..

국내외 보안동향 2021. 7. 30. 09:00

LockBit ransomware automates Windows domain encryption via group policies LockBit 2.0 랜섬웨어의 새로운 버전이 활성 디렉토리 그룹 정책을 사용하여 윈도우 도메인 암호화 과정을 자동화한 것으로 나타났습니다. LockBit 랜섬웨어는 2019년 9월 서비스형 랜섬웨어의 형태로 시작되었으며, 네트워크를 침해 후 장치를 암호화할 공격자를 모집했습니다. 모집된 제휴 파트너는 랜섬머니의 70~80%를 가져가고, 나머지는 LockBit 개발자가 가져갑니다. LockBit의 새로운 버전에는 고급 기능 다수가 포함되어 있었으며, 이 중 2가지는 아래에 설명되어 있습니다. 네트워크 암호화에 그룹 정책 업데이트 사용해 LockBit 2.0은 과거 다른 랜섬..

국내외 보안동향 2021. 7. 28. 09:00

안녕하세요? 이스트시큐리티입니다. 7월 정보보호의 달을 맞이하여 이스트시큐리티에서는 ‘보안환경 점검’ 설문조사를 실시했습니다. 이번 설문조사는 6월 28일부터 7월 11일까지 14일간 진행되었으며, 총 6천 명이 넘는 많은 분께서 설문에 응답해주셨습니다. 2021년, 랜섬웨어 공격의 현주소는? 최근 랜섬웨어 발생 건수가 점차 증가세를 나타내고 있으며, Kaseya VSA 공급망 공격, 미국의 송유관 시설 'Colonial Pipleline' 공격, 식가공 업체 ‘JBS Food’ 등 전 세계 경제 상황을 뒤흔들 만큼 위협적인 랜섬웨어 공격들이 연이어 발생하고 있습니다. 이러한 대규모 공격 배후는 Darkside, Sodinokibi (Revil) 랜섬웨어 운영자들로 추정되며, 이들은 새로운 버전을 추가하..

이스트시큐리티 소식 2021. 7. 27. 07:30

HelloKitty ransomware gang targets vulnerable SonicWall devices 이번 주, SonicWall이 단종된 일부 기기를 노리는 랜섬웨어 캠페인에 대해 경고하는 긴급 보안 경고문을 발표했습니다. 공격자는 SMA(Secure Mobile Access) 100 시리즈 및 SRA(Secure Remote Access) 제품군 내 패치되지 않은 기기를 공격할 수 있습니다. “SonicWall은 신뢰할 수 있는 타사와의 협업을 통해, 현재 공격자가 훔친 자격 증명을 이용하는 랜섬웨어 캠페인에서 단종 상태이며 패치되지 않은 8.x 펌웨어를 사용하는 SMA(Secure Mobile Access) 100 시리즈 및 SRA(Secure Remote Access) 제품을 적극적으..

국내외 보안동향 2021. 7. 19. 14:00

HelloKitty ransomware now targets VMware ESXi servers HelloKitty 랜섬웨어의 리눅스 변종이 VMware ESXi 시스템을 노린 공격에 사용된 것으로 나타났습니다. 이 랜섬웨어 그룹은 가상화 플랫폼을 주로 사용하는 기업을 타깃으로 운영을 확대하는 것을 목표로 합니다. VMware ESXi 시스템을 노리는 공격자는 피해자에게 상당한 영향을 미치며, 가능한 많은 가상 머신을 암호화하는 것이 가능합니다. MalwareHunterTeam의 연구원들은 VMware ESXi 서버를 공격하고, 해당 위치에 호스팅되는 가상 머신을 암호화하도록 설계된 HelloKitty 랜섬웨어의 ELF64 버전 다수를 발견했습니다. 이 소식을 전한 Bleeping Computer는 새로..

국내외 보안동향 2021. 7. 16. 14:00

The infrastructure and websites used by REvil ransomware gang are not reachable 7월 14일 오후 3시경 이후로 Sodinokibi 랜섬웨어 그룹이 사용하는 인프라와 웹사이트가 접속이 불가능한 상태가 되었습니다. 이를 보도한 Bleeping Computer는 아래와 같이 밝혔습니다. “Sodinokibi(REvil) 랜섬웨어는 랜섬머니 협상 사이트, 랜섬웨어 데이터 유출 사이트, 백엔드 인프라로 사용되는 수 많은 클리어 웹 및 다크웹 사이트를 통해 운영됩니다. 14일 오후 3시경 이후, Sodinokibi 랜섬웨어 작전에 사용된 웹사이트 및 인프라가 이유를 밝히지 않은 채 운영이 중단되었습니다.” Tor 유출 사이트 및 지불 웹사이트인 “de..

국내외 보안동향 2021. 7. 15. 14:00