안녕하세요. ESRC(이스트시큐리티 시큐리티 대응센터) 입니다. 현재 '저작권 위법 안내'메일을 위장하여 랜섬웨어가 유포되는 정황이 포착되어 일반 사용자들과 기업 담당자들의 주의가 필요합니다. 메일은 '자신의 작품을 동의 없이 사용하였고, 현재 저작권이 위반되는 사항이 있으니 해당 내용 확인하여 상의하자'는 내용과 함께 첨부파일을 포함하고 있습니다. 실제 첨부된 파일은 랜섬웨어 파일로 사용자에게 이메일 내용을 통하여 첨부 파일 실행을 유도합니다. '저작권법 관련하여 위반인 사항'들 정리하여 보내드립니다.exe' 파일 분석 1) 특정 프로세스 종료 현재 시스템에서 아래 프로세스가 실행중일 경우, 이를 종료합니다. 이는 프로세스에서 접근중인 파일을 암호화시키기 위함으로 보입니다. msftesql.exe, s..

악성코드 분석 리포트 2020. 12. 16. 23:22

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 다크 웹 유출 정보 공개 사이트에 국내 기업 정보가 기재되었고 유출한 자료가 다크 웹에 공개될 수 있다고 협박을 받고 있는 것으로 알려졌습니다. 작년 처음 등장한 신종 랜섬웨어로 사용자의 파일을 암호화하여 금전을 요구하는 악성코드입니다. [그림] ‘LockBit-note.hta’ 실행 화면 ‘Trojan.Ransom.LockBit’ 랜섬웨어는 파라미터에 따라 특정 파일/경로와 로컬 PC와 연결된 네트워크 리소스 전체를 암호화한다는 점이 특징입니다. 추가로 로컬 드라이브와 네트워크 드라이브로 연결된 모든 파일이 암호화 대상에 포함되기 때문에 폐쇄망을 사용하는 기업 또한 랜섬웨어 공격에 주의가 필요합니다. 따라서 랜섬웨어를 예방하기 위해..

악성코드 분석 리포트 2020. 12. 16. 09:00

250,000 stolen MySQL databases for sale on dark web auction site 해커들이 해킹된 MySQL 서버 수만 대에서 훔친 25만 데이터베이스를 판매하기 위해 다크웹에 경매 사이트를 만들었습니다. 수집된 데이터의 전체 크기는 7TB이며, 이는 지난 10월 이후 급증한 데이터베이스 랜섬 사업의 일부입니다. 데이터베이스 랜섬 공격 급증 지난 5월, Bleeping Computer는 공격자들이 온라인 스토어의 SQL 데이터베이스를 훔치고 피해자가 0.06 비트코인을 지불하지 않을 경우 데이터를 공개하겠다고 협박하는 캠페인에 대해 보도했습니다. 일반 웹상의 해커의 웹사이트에는 데이터베이스가 31개만 등록되어 있지만, 랜섬노트에 기재된 지갑에 대한 악용 신고 횟수가 20..

국내외 보안동향 2020. 12. 11. 14:00

Ransomware gangs are now cold-calling victims if they restore from backups without paying 랜섬웨어 범죄자들이 해킹된 회사가 랜섬머니를 지불하지 않고 백업을 통해 데이터를 복구하려 시도할 경우 피해자를 협박하기 위해 전화 연락을 시도하는 것으로 나타났습니다. Arete Incident Response의 디렉터인 Evgueni Erchov는 이러한 전략을 지난 8월, 9월부터 목격했다고 밝혔습니다. Emsisoft는 과거에도 Sekhmet (현재 활동 중단), Maze (현재 활동 중단), Conti, Ryuk 등 랜섬웨어 그룹이 피해자에게 전화를 걸었다고 밝혔습니다. Covewave의 CEO이자 공동 창립자인 Bill Siegel은 Z..

국내외 보안동향 2020. 12. 7. 14:00

Metro Vancouver's transit system hit by Egregor ransomware Egregor 랜섬웨어가 메트로 밴쿠버(Metro Vancouver)의 운송 대행 업체인 TransLink를 공격해 서비스와 결제 시스템을 중단시켰습니다. 12월 1일, TransLink는 IT 시스템에 전화, 온라인 서비스, 신용카드 및 직불카드를 통한 요금 지불 기능에 영향을 미치는 문제가 발생했다고 밝혔습니다. 모든 교통 서비스는 이 IT 문제의 영향을 받지 않았습니다. 모든 지불 시스템을 복구한 후, TransLink는 이 IT 관련 문제가 랜섬웨어 공격으로 인해 발생했다고 밝혔습니다. “TransLink의 일부 IT 인프라가 랜섬웨어의 타깃이 되었음을 확인했습니다. 공격자는 프린트한 메시지를..

국내외 보안동향 2020. 12. 7. 09:00

Mount Locker ransomware now targets your TurboTax tax returns Mount Locker 랜섬웨어가 세금 시즌에 TurboTax 환급을 노리기 위해 준비하고 있는 것으로 나타났습니다. Mount Locker는 2020년 7월부터 피해자를 감염시키기 시작했습니다. 다른 인간 개입 랜섬웨어와 동일하게 Mount Locker는 네트워크를 해킹하고, 협박용으로 암호화되지 않은 파일을 수집하고, 네트워크 상의 기기를 암호화합니다. 이후 피해자에게 랜섬머니를 지불하지 않을 경우 유출 사이트에 훔친 파일을 공개할 것이라고 이중으로 협박합니다. 새로운 Mount Locker 버전, TurboTax 노려 세금 시즌이 다가옴에 따라, 일부 사람들은 세금 마감일인 4월 15일을 ..

국내외 보안동향 2020. 11. 20. 09:00

Sodinokibi ransomware hits Managed.com hosting provider, 500K ransom 관리형 웹 호스팅 서비스 제공 업체인 Managed.com이 주말 동안 Sodinokibi 랜섬웨어 공격을 받아 시스템을 복구하기 위해 서버와 웹 호스팅 시스템을 오프라인으로 전환했습니다. 지난 월요일, Managed.com은 호스팅 서비스를 이용할 수 없는 문제를 겪었다며 이를 조사 중이라 발표했습니다. Managed.com은 지난 화요일 랜섬웨어 공격을 받았다고 밝히며 “고객 데이터의 무결성”을 보호하기 위해 고객의 웹사이트를 포함한 전체 시스템을 다운시키기로 결정했다고 밝혔습니다. Manage.com은 공지를 통해 아래와 같이 밝혔습니다. “2020년 11월 17일: Manag..

국내외 보안동향 2020. 11. 19. 14:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 현재 이력서를 위장한 Makop랜섬웨어가 대량 유포 중인 정황이 발견되어 사용자들의 주의가 필요합니다.공격자는 이력서를 위장하여 악성파일이 첨부된 파일을 전송합니다. [그림 1] 이력서 위장 이메일 화면 [그림 2] 첨부 파일 코드 분석 첨부파일은 pdf 아이콘을 가지고 있으며 사용자에게 문서파일인 것으로 위장하지만 해당 파일은 exe 파일로 실행 파일을 암호화하는 랜섬웨어 행위를 수행합니다. 먼저, Windows 시점 복원을 방지하기 위해 'cmd.exe'를 이용하여 볼륨 섀도를 삭제합니다. [그림 3] 볼륨 섀도 삭제 화면 또한, 현재 사용자가 접근 중이거나 프로세스에서 사용되는 파일을 암호화시키기 위해 현재 로컬에서 실행 중인 프로세스들을 확인하여 종..

악성코드 분석 리포트 2020. 11. 16. 15:52