The infrastructure and websites used by REvil ransomware gang are not reachable 7월 14일 오후 3시경 이후로 Sodinokibi 랜섬웨어 그룹이 사용하는 인프라와 웹사이트가 접속이 불가능한 상태가 되었습니다. 이를 보도한 Bleeping Computer는 아래와 같이 밝혔습니다. “Sodinokibi(REvil) 랜섬웨어는 랜섬머니 협상 사이트, 랜섬웨어 데이터 유출 사이트, 백엔드 인프라로 사용되는 수 많은 클리어 웹 및 다크웹 사이트를 통해 운영됩니다. 14일 오후 3시경 이후, Sodinokibi 랜섬웨어 작전에 사용된 웹사이트 및 인프라가 이유를 밝히지 않은 채 운영이 중단되었습니다.” Tor 유출 사이트 및 지불 웹사이트인 “de..

국내외 보안동향 2021. 7. 15. 14:00

Fashion retailer Guess discloses data breach after ransomware attack 미국의 패션 브랜드 게스(Guess)가 지난 2월 랜섬웨어 공격을 받은 이후 데이터 침해가 발생했다고 알렸습니다. 게스는 영향을 받은 고객에게 발송된 메일을 통해 아래와 같이 밝혔습니다. “포렌식 회사의 도움을 받아 조사를 진행한 결과 2021년 2월 2일부터 23일 사이 게스의 시스템에서 무단 침입이 감지되었습니다. 2021년 5월 26일 진행된 조사 결과에 따르면, 공격자가 특정 개인의 정보를 접근 및 획득할 수 있었음을 확인했습니다.” 게스는 미국, 유럽, 아시아에서 매장 1,041곳을 직접 운영하고 있으며 유통 업체와 파트너는 2021년 5월 기준으로 전 세계의 매장 539곳..

국내외 보안동향 2021. 7. 13. 14:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2021년 1월 최초로 등장한 Babuk 랜섬웨어는 지난 4월까지 전 세계 기업 및 특정 개인을 대상으로 활발한 공격 활동을 펼쳤습니다. 하지만 지난 4월, 워싱턴 DC 경찰서 공격을 마지막으로 랜섬웨어 운영을 중단하였습니다. 그 후 5월 말, Babuk 랜섬웨어 운영자는 데이터 유출 사이트를 Payload.bin으로 리브랜딩 후 다른 공격자들에게 피해자들로부터 훔친 데이터를 유출할 수 있는 기회를 제공하였습니다. 6월 말, 악성코드 스캐닝 사이트 Virustotal에 Babuk 랜섬웨어 빌더가 업로드되었으며, 이를 한 보안 연구원이 발견하였습니다. 이 빌더가 Virustotal 사이트에 업로드된 경위는 아직 확인되지 않았습니다. 이에 E..

악성코드 분석 리포트 2021. 7. 12. 15:36

Insurance firm CNA discloses data breach after March ransomware attack 미 보험 회사인 CNA에서 지난 3월 랜섬웨어 공격 발생 후 데이터 유출 사고가 발생했다고 고객들에 통보하고 있는 것으로 나타났습니다. 해당 보험 회사는 랜섬웨어 공격을 받은 후 복구를 위해 랜섬머니로 4천만 달러를 지불했습니다. Bloomberg에 따르면, CNA 파이낸셜은 보안 침해가 발생한 지 2주가 지나도 운영을 재개할 수 없었기 때문에 랜섬머니를 지불하기로 결정한 것으로 나타났습니다. 회사의 시스템은 Evil Corp로 알려진 사이버 범죄 그룹에서 사용하는 랜섬웨어인 Phoenix Locker에 감염된 것으로 나타났습니다. 이 사고에 대해 Bloomberg는 아래와 같이..

국내외 보안동향 2021. 7. 12. 14:00

Kaseya: Roughly 1,500 businesses hit by REvil ransomware attack Kaseya는 Sodinokibi 공급망 랜섬웨어 공격이 회사의 VSA 온-프레미스 제품을 사용하는 고객 약 60명의 시스템을 침해했다고 밝혔습니다. 또한 회사는 현재까지 Kaseya 원격 관리 툴을 사용하여 네트워크를 관리하는 다운 스트림 피해자가 최대 1,500명에 달한다고 밝혔습니다. Kaseya는 보도자료를 통해 아래와 같이 밝혔습니다. “이 공격은 제한적인 영향을 미쳤으며, Kaseya 고객 3만 5천곳 이상 중 약 50곳만 공격을 받았습니다. Kaseya의 고객은 로컬 및 중소기업 약 80만~100만 곳을 관리하고 있지만, 이 중 800~1,500곳 만이 침해되었습니다.” 이 회사..

국내외 보안동향 2021. 7. 7. 09:00

REvil ransomware asks $70 million to decrypt all Kaseya attack victims Sodinokibi 랜섬웨어가 Kaseya 공급망 공격 중 암호화된 모든 시스템을 복호화하기 위한 가격을 책정했습니다. 이들은 모든 기업이 파일을 복호화할 수 있는 툴의 가격으로 7천만 달러 상당의 비트코인을 요구했습니다. 지난 금요일 발생한 이 공격은 관리 서비스 제공업체(MSP)에서 고객 시스템을 모니터링하고 패치 관리를 위해 사용되는 Kaseya VSA 클라우스 기반 솔루션을 통해 확산되었습니다. 많은 MSP 업체의 고객이 이 공격에 영향을 받았으며, Sodinokibi 랜섬웨어는 전 세계에 걸쳐 최소 1,000개 기업의 네트워크를 암호화했습니다. 공격자는 유출 사이트를 통..

국내외 보안동향 2021. 7. 6. 09:00

Kaseya Supply-Chain Attack Hits Nearly 40 Service Providers With REvil Ransomware 악명 높은 Sodinokibi 랜섬웨어 그룹 공격자들이 Kaseya IT 관리 소프트웨어 업데이트를 통해 랜섬웨어를 유포한 것으로 나타났습니다. 이들은 광범위한 랜섬웨어 공격을 통해 전 세계의 고객 약 40곳을 공격했습니다. 지난 금요일 회사의 CEO인 Fred Voccola는 성명문을 통해 아래와 같이 밝혔습니다. "Kaseya의 사고대응팀은 2021년 7월 2일 금요일 정오(EST)에 VSA 소프트웨어와 관련된 잠재적 보안 사고에 대해 알게 되었습니다." 사고 이후, 해당 회사는 사전 예방 조치로 SaaS 서버를 종료시켰으며, 온-프레미스 고객에게 VSA ..

국내외 보안동향 2021. 7. 5. 09:00

The builder for Babuk Locker ransomware was leaked online Babuk Locker 랜섬웨어의 빌더가 온라인에 유출되었으며, 공격자들이 이를 통해 자체 랜섬웨어 버전을 만들고 있다고 The Record에서 보도했습니다. Babuk Locker 운영자는 지난 4월 워싱턴 DC 경찰서에 대한 공격 이후 운영을 중단했습니다. 전문가들은 미 경찰서를 공격 및 협박한 이 그룹의 작전이 잘못된 것이었다고 밝혔습니다. 해당 랜섬웨어 그룹은 워싱턴 DC, 메트로폴리탄 경찰서에 침입해 파일을 암호화하고 랜섬머니로 4백만 달러를 요구했습니다. 당시 Babuk 랜섬웨어는 경찰 및 정보원의 개인 데이터를 포함한 파일 250GB 상당을 훔쳤다고 밝혔습니다. 5월 말, Babuk 랜섬웨..

국내외 보안동향 2021. 6. 29. 09:00