안녕하세요. ESRC(시큐리티 대응센터)입니다. 현재 입사지원서, 이력서를 위장한 Makop랜섬웨어가 유포 중인 정황이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 “쾌활하고 유능한 사람입니다”라는 제목으로 수신되었으며, 특정 기관의 인사/채용 관계자를 타깃으로 발행된 것으로 확인되었습니다. 메일에 첨부 된 압축파일 내부에는 이력서와 입사지원서 파일이 포함되어있지만 문서 파일이 아닌 실행파일(EXE)로 구성되어 있는 것이 확인됩니다. 사용자가 압축 파일을 해제하여 PDF 아이콘으로 위장된 파일을 실행할 경우 랜섬웨어 행위를 수행합니다. 먼저, Windows 시점 복원을 방지하기 위해 명령 프롬프트(CMD)를 이용하여 볼륨 섀도를 삭제합니다. 이후 현재 사용자가 사용 중인 프로세스와 관련된..

악성코드 분석 리포트 2021. 4. 2. 16:04

Microsoft Exchange attacks increase while WannaCry gets a restart 최근 패치된 마이크로소프트 익스체인지의 취약점이 사이버 범죄자들 사이에서 새로운 관심을 불러 일으키고 있는 것으로 나타났습니다. 최근 이 특정 벡터에 집중하는 공격의 횟수가 증가했습니다. 지난 6개월 동안 랜섬웨어 공격의 빈도가 증가했지만, 사이버 보안 회사인 Check Point는 지난 주 ProxyLogon에 취약한 마이크로소프트 익스체인지 서버를 노린 공격이 급증했다고 밝혔습니다. 패치 작업이 빠른 속도로 이루어지고 있음에도 불구하고, 회사는 전 세계에서 세 배 이상의 공격 시도를 목격했으며 이는 수만 건에 달하는 것으로 나타났습니다. 여전히 공격자에게 매력적인 타깃인 마이크로소프트..

국내외 보안동향 2021. 3. 31. 14:00

Ransomware admin is refunding victims their ransom payments Ziggy 랜섬웨어 관리자들이 최근 랜섬웨어 운영 종료를 발표한 후 피해자들의 돈을 환불해주겠다고 발표했습니다. 운영 종료 후 환불 조치 Ziggy 랜섬웨어는 2월 초에 종료되었습니다. 당시 관리자는 랜섬웨어 운영에 대한 후회와 함께 모든 복호화 키를 게시하기로 결정했다고 밝혔습니다. 이후 다음 날인 2월 7일, 피해자가 파일을 복호화하는데 사용할 수 있는 복호화 키 922개가 포함된 SQL 파일을 공개했습니다. 또한 복호화를 더욱 쉽게 하기 위한 툴을 공개하고, 인터넷 연결이 필요하지 않은 복호화 툴의 소스코드 또한 공개했습니다. 지난 3월 19일, Ziggy 랜섬웨어의 운영자는 랜섬머니를 지불한..

국내외 보안동향 2021. 3. 30. 09:00

Ransomware gang urges victims’ customers to demand a ransom payment Clop 랜섬웨어 운영자가 피해자의 고객에게 이메일을 보내 그들의 개인정보 보호를 위해 랜섬머니를 지불할 것을 요구해 피해자들에게 극한의 압력을 가하고 있습니다. 랜섬웨어 공격에서 사용되는 일반적인 전략은 피해자의 네트워크를 암호화하기 전 데이터를 훔치는 것입니다. 그리고 이를 이용하여 랜섬머니를 지불하지 않으면 데이터를 공개하겠다고 피해자를 이중으로 위협합니다. 도난당한 데이터에는 개인정보, 신용카드, 주민등록번호, 정부 발행 자격증 등이 포함되어 있을 가능성이 있어 데이터가 공개되면 피해자와 고객이 피해를 입을 수 있습니다. Clop 랜섬웨어, 데이터 유출 전 고객에게 경고해 Cl..

국내외 보안동향 2021. 3. 29. 14:00

New DEARCRY Ransomware is targeting Microsoft Exchange Servers 공격자들이 새로 공개된 ProxyLogon 취약점을 악용하여 마이크로소프트 익스체인지 서버를 해킹한 후 ‘DearCry’ 랜섬웨어를 설치하고 있는 것으로 나타났습니다. 마이크로소프트는 이달 초 공격자들이 새로운 제로데이 취약점인 ProxyLogon을 악용하여 마이크로소프트 익스체인지 서버를 해킹하고 있다는 사실을 공개했습니다. 당시 공격자들이 이 취약점을 랜섬웨어를 배포하는데 악용할 것이라는 우려가 있었습니다. 그러한 우려는 현실이 되었으며 공격자들은 실제 공격에 이 취약점을 악용하여 DearCry 랜섬웨어를 배포하기 시작했습니다. DearCry 랜섬웨어 ID-Ransomware의 Michae..

국내외 보안동향 2021. 3. 12. 14:20

New Sarbloh ransomware supports Indian farmers' protest Sarbloh라 알려진 새로운 랜섬웨어가 파일을 암호화하는 동시에 인도 농부의 시위를 지지하는 메시지를 전달하는 것으로 나타났습니다. 지난 해 인도 정부는 ‘farm Bills’로도 알려진 ‘인도 농업 법 2020’이라는 새로운 법안을 통과시켰습니다. 정부는 농산업을 현대화 하기 위해 이 법안이 필요하다고 설명했습니다. 하지만 농부들은 이 법률로 인해 상품을 판매하는 방식 및 가격에 대한 제한이 제거되어 그들의 수익 창출이 더욱 어렵게 될 것이라 주장했습니다. 새로운 랜섬웨어인 Sarbloh, 인도 농부들 지지해 Malwarebytes, Cyble, QuickHeal을 포함한 많은 보안 회사에서 발견한 이..

국내외 보안동향 2021. 3. 9. 14:37

Ransomware gang plans to call victim's business partners about attacks Sodinokibi 랜섬웨어 운영자가 피해자가 랜섬머니를 지불하도록 협박하기 위해 DDoS 공격 및 언론인과 피해자의 사업 파트너에게 음성 전화를 진행할 것이라 공지했습니다. Sodinokibi는 서비스형 랜섬웨어(RaaS)로 랜섬웨어 운영자가 악성코드 및 결제 사이트를 개발하고, 파트너들이 기업 네트워크를 해킹하여 랜섬웨어를 배포하는 방식을 사용합니다. 이 거래를 통해 Sodinokibi 개발자는 랜섬머니의 20%~30%를 가지고 파트너는 나머지 70~80%를 가져갑니다. 피해자가 랜섬머니를 지불하도록 압력을 가하기 위해, 랜섬웨어 운영자들은 피해자가 랜섬머니를 지불하지 않을 ..

국내외 보안동향 2021. 3. 8. 14:20

New ransomware only decrypts victims who join their Discord server 새로운 랜섬웨어인 ‘Hog’가 사용자의 기기를 암호화한 후 개발자의 디스코드(Discord) 서버에 가입할 경우에만 이를 복호화해주는 것으로 나타났습니다. 이번 주 보안 연구원인 MalwareHunterTeam은 현재 개발 중인 Hog 랜섬웨어용 복호화 툴을 발견했습니다. 이 툴은 파일을 복호화 하고자 하는 피해자에게 디스코드 서버에 가입할 것을 요구합니다. Bleeping Computer 측은 추후 이 랜섬웨어의 암호화 컴포넌트를 VirusTotal에서 찾을 수 있었습니다. 이 컴포넌트는 실행되면 특정 디스코드 서버가 존재하는지 확인하고, 존재할 경우 피해자의 파일을 암호화하기 시작합..

국내외 보안동향 2021. 3. 8. 09:00