LockBit ransomware moves quietly on the network, strikes fast LockBit 랜섬웨어가 피해자의 네트워크에 도달해 암호화 루틴을 시작하는데 걸리는 시간은 단 5분인 것으로 나타났습니다. LockBit은 2019년 9월 시작된 서비스형 랜섬웨어(RaaS)로 자동화된 프로세스를 통해 네트워크 전체에 빠르게 확산되고, 중요한 시스템을 빠르게 식별해 암호화합니다. LockBit은 포렌식 분석을 위한 흔적을 거의 남기지 않으며, 실행 시 로그 및 지원 파일을 제거합니다. 스크립트 및 백도어 Sophos의 연구원들은 소규모 조직에서 발생한 사건 8건을 조사한 후, LockBit 랜섬웨어에 대한 더 많은 정보를 수집할 수 있었습니다. 이들은 한 사례에서 공격이 해킹된 ..

국내외 보안동향 2020. 10. 22. 09:28

Nefilim ransomware gang published Luxottica data on its leak site Nefilim 랜섬웨어 운영자들이 이탈리아의 안경 및 눈 관리 용품 제조 업체인 룩소티카(Luxottica)의 것으로 추측되는 긴 파일 목록을 공개했습니다. 룩소티카는 안경 업계 세계 최대 규모의 이탈리아 기업입니다. 룩소티카는 수직 통합 회사로, 자사 브랜드인 LensCrafters, Sunglass Hut, Apex by Sunglass Hut, Pearle Vision, Target Optical, Eyemed vision care plan, Glasses.com의 제품을 디자인, 생산, 유통 및 소매 판매합니다. 룩소티카의 가장 유명한 브랜드는 Ray-Ban, Persol, Oak..

국내외 보안동향 2020. 10. 21. 09:00

Crooks hit Puerto Rico Firefighting Department Servers 푸에르토리코의 소방국이 지난 수요일 보안 침해 사고를 겪었다고 밝혔습니다. 해커들은 데이터베이스를 훔친 후 랜섬머니로 $600,000을 요구한 것으로 나타났습니다. 소방국 책임자인 Alberto Cruz는 이 사고로 인해 응급 사태 대응 관련 운영은 영향을 받지 않았다고 밝혔습니다. 소방국은 공격자로부터 서버가 암호화되었으며 복호화를 위해서는 랜섬머니를 지불해야 한다는 협박 메일을 받았다고 밝혔습니다. 지역 경찰은 이 사건에 대해 조사를 시작했습니다. 푸에르토리코 소방국은 랜섬머니를 지불하지 않기로 결정했다고 밝혔습니다. 출처: https://securityaffairs.co/wordpress/109551/..

국내외 보안동향 2020. 10. 16. 14:00

Crytek hit by Egregor ransomware, Ubisoft data leaked Egregor 랜섬웨어 운영자가 Crytek을 공격했으며 Ubisoft의 네트워크에서 파일을 훔쳤다고 주장하며 이를 공개했습니다. Ubisoft와 Crytek은 유명 게임 개발사로 프랑스와 독일에 본사를 두고 있습니다. 이번 주, Egregor 랜섬웨어 운영자는 암호화되지 않은 파일을 담고 있는 압축파일을 공개하며 Ubisoft와 Crytek에서 훔쳤다고 밝혔습니다. Ubisoft에 대한 공격이 진짜인지는 확인할 수 없었지만 Bleeping Computer는 Crytek이 랜섬웨어 공격을 받았음을 확인했습니다. Crytek, 랜섬웨어 공격 받은 것으로 확인 돼 이번 주, Bleeping Computer는 Cr..

국내외 보안동향 2020. 10. 16. 09:06

Leading Law firm Seyfarth Shaw discloses ransomware attack 세계적인 로펌 중 하나인 세이파스 쇼(Seyfarth Shaw)가 “공격적인 악성코드”에 피해를 입었음을 공지했습니다. 공격 유형은 랜섬웨어인 것으로 추측됩니다. 세이파스 쇼는 일리노이 주 시카고에 본사를 둔 국제 AmLaw 100 로펌으로 포튠(Fortune) 500 기업 중 300곳 이상을 고객으로 두고 있습니다. 또한 이 회사의 관행은 거의 모든 산업 및 경제 부문을 반영합니다. 세이파스 쇼는 “공격적인 악성코드”의 피해자가 되었다고 공지했지만, 언론은 즉시 이 회사가 랜섬웨어에 감염된 것이 확인되었다고 보도했습니다. 회사에서 발행한 입장문에 따르면 공격은 2020년 10월 10일 발생했습니다...

국내외 보안동향 2020. 10. 14. 09:02

Underestimating the FONIX – Ransomware as a Service could be an error FONIX는 비교적 새로운 서비스형 랜섬웨어입니다. 운영자는 랜섬웨어를 운영하기 전에는 바이너리 크립터/패커를 전문으로 개발했습니다. FONIX 서비스형 랜섬웨어 운영자들은 다양한 사이버 범죄 포럼에서 여러 제품을 광고했습니다. FONIX는 지난 2020년 7월 처음으로 등장했으며 다행히도 감염 수는 적은 편입니다. 전문가들은 이 랜섬웨어의 제작자들이 제휴 파트너들에게 수수료를 요구하지 않고 제휴 네트워크의 랜섬 중 일부만 챙겨간다는 점을 지적했습니다. 하지만 보안 업체와 당국에서 FONIX RaaS를 과소평가할 경우 이는 빠르게 확산될 수 있을 것이라 예상했습니다. “FONIX는..

국내외 보안동향 2020. 10. 12. 14:00

Ransomware gang now using critical Windows flaw in attacks 마이크로소프트가 사이버 범죄자들이 공격 시 ZeroLogon 취약점의 익스플로잇 코드를 악용하기 시작했다고 경고했습니다. 회사는 9월 하반기 사이버 스파이 그룹인 MuddyWater(SeedWorm)에서 실행한 공격을 발견 후 공지했습니다. 이번 공격의 배후에 있는 공격자는 2014년 Dridex 뱅킹 트로이목마를 배포를 시작으로 활동을 시작한 TA505입니다. 이 그룹은 피해자를 딱히 가리지 않는 것으로 알려져 있습니다. 지난 몇 년 동안 공격자는 백도어부터 랜섬웨어까지 다양한 악성코드를 배포하는 공격을 실행해왔습니다. 최근에는 Clop 랜섬웨어를 배포한 것으로 나타났습니다. 이들은 작년 네덜란드의..

국내외 보안동향 2020. 10. 12. 09:00

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 이력서로 위장한 Makop 랜섬웨어 유포 정황이 포착되어 기업 담당자들의 주의가 필요합니다. [그림 1] Makop 랜섬웨어 이메일 본문 첨부파일은 ZIP, LZH 이중 압축으로 되어 있으며 pdf로 위장되어 있는 ‘exe’ 파일임을 확인할 수 있습니다. [그림 2] pdf로 위장된 랜섬웨어 파일 이 파일은 설치 파일 NSIS로 제작되었으며 실행 시 암호화된 랜섬웨어 파일을 복호화하여 child 프로세스에 인젝션하는 형태를 가집니다. 이는 백신의 탐지로부터 우회하기 위한 행위로 보입니다. 섀도 볼륨을 삭제하기 위해 cmd.exe를 실행하여 파이프를 통해 명령을 전달합니다. [그림 3] 섀도 볼륨 삭제 명령 또한 특정 프로세스들을 종료시킵니..

악성코드 분석 리포트 2020. 10. 5. 11:37