Hackers leak credit card info from Costa Rica's state bank Maze 랜섬웨어 운영자들이 코스타리카 은행 (BCR, Bank of Costa Rica)에서 훔친 신용카드 데이터를 공개했습니다. 이들은 매주 파일을 유출하겠다고 협박해 왔습니다. 이 해커들은 과거 코스타리카 은행을 해킹했다고 주장했었습니다. 해당 은행은 침입 사실을 부인했으며, 해커는 그들의 주장을 증명하기 위해 이같이 정보를 공개한 것으로 보입니다. 유출된 정보 중 유효한 번호도 발견돼 Maze 운영자들은 그들의 “유출” 사이트를 통해 코스타리카 은행 고객의 지불 카드 번호가 담긴 2GB 상당의 스프레드시트를 공개했습니다. 공격자들은 수익을 내기 위해 이 데이터를 활용하지 않을 것이기 때문에 공..

국내외 보안동향 2020. 5. 25. 09:12

Vigilante hackers target 'scammers' with ransomware, DDoS attacks 한 해커가 정의 구현을 위해 사기성 기업을 대상으로 랜섬웨어 및 DDoS 공격을 실행하고 있는 것으로 나타났습니다. 지난주 새로운 랜섬웨어인 MilkmanVictory가 발견되었습니다. 이 랜섬웨어의 배후에 있는 공격자 그룹은 사기꾼들을 공격하기 위해 이 프로그램을 개발했다고 밝혔습니다. ‘CyberWare’로 알려진 이 해킹 그룹은 BleepingComputer과의 대화에서 “대출 사기”를 저지르는 기업을 공격하기 시작했다고 밝혔습니다. 이들은 “대출” 서비스를 제공한다고 주장하지만, 고객이 먼저 돈을 지불하더라도 아무런 서비스를 받지 못합니다. 이 공격은 PDF 파일로 위장한 실행파일..

국내외 보안동향 2020. 5. 21. 14:30

Netwalker ransomware actors go fileless to make attacks untraceable 공격자들이 흔적을 남기지 않고 피해자를 Netwalker 랜섬웨어에 감염 시키기 위해 파일리스 악성코드 기술인 반사 DLL 인젝션(Reflected DLL injection)을 사용해온 것으로 나타났습니다. DLL 인젝션(DLL injection) 이란? 다른 프로세스의 주소 공간 내에서 DLL을 강제로 로드시킴으로써 코드를 실행시키는 기술로 공격자는 임의적인 코드를 삽입하여 시스템 함수 후출을 후킹하거나 보통 방식으로 읽을 수 없는 패스워드 텍스트 박스의 내용을 읽을 수 있다. 반사 DLL 인젝션(Reflected DLL injection) 이란?DLL 인젝션(DLL injectio..

국내외 보안동향 2020. 5. 19. 14:00

FBI warns of ProLock ransomware decryptor not working properly 많은 랜섬웨어가 코로나바이러스 팬데믹 상황을 엄청나게 바빠진 의료 부문을 공격할 완벽한 기회로 삼고 있습니다. 그리고 ProLock 또한 이 대열에 합류했습니다. FBI는 이달 초 미국의 의료 기관, 정부, 금융 기관, 소매업 등을 노리는 새로운 공격 조직에 대한 경고를 발행했습니다. 제대로 작동하지 않는 복호화 툴 FBI는 랜섬웨어 공격자의 요구에 응하지 말 것을 권장합니다. 그들의 요구에 응할 경우, 더 많은 공격을 실행하도록 북돋아주는 꼴이 되기 때문입니다. ProLock의 복호화 툴이 제대로 동작하지 않아 복호화 툴 사용 시, 데이터가 손실되는 것으로 나타났습니다. 64MB보다 큰 파일..

국내외 보안동향 2020. 5. 19. 09:11

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 국내 기업에 이력서 확인 메일로 ‘Trojan.Ransom.Makop’(이하 Makop 랜섬웨어)가 유포되고 있습니다. 공격자는 아래의 메일을 통해 이용자에게 ‘이력서.tar’ 첨부파일 실행을 유도합니다. Makop 랜섬웨어는 파일 암호화 기능을 수행하는 악성코드입니다. [그림] 이력서 위장 메일 랜섬웨어를 예방하기 위해서는 기본 보안 수칙을 준수하고, 윈도우, 애플리케이션을 최신으로 업데이트해야 합니다. 또한 중요한 자료는 정기적으로 외장 매체나 클라우드 서비스 등에 백업해서 피해를 최소화할 수 있도록 해야 합니다. 현재 알약에서는 해당 악성 코드를 ‘Trojan.Ransom.Makop’ 탐지 명으로 진단하고 있으며, 관련 상세 분..

악성코드 분석 리포트 2020. 5. 18. 09:00

Ransomware now demands extra payment to delete stolen files 한 랜섬웨어 패밀리가 복호화 툴 값뿐만 아니라 공격 도중 훔친 파일을 공개하지 않고 삭제하기 위한 두 번째 랜섬머니를 요구하기 시작했습니다. 지난 수년 동안, 랜섬웨어 운영자들은 회사 네트워크를 암호화하기 전 데이터를 훔쳤다고 주장하며 랜섬머니를 지불하지 않을 경우 데이터를 공개하겠다고 협박해 왔습니다. 지난 2019년 11월 Maze 랜섬웨어 운영자는 실제로 훔친 파일을 공개했습니다. 그 이후로 Maze, Sodinokibi, DopplePaymer, Clop, Sekhmet, Nephilim, Mespinoza, Netwalker와 같은 거의 모든 랜섬웨어 패밀리에서 이 정책을 도입하였습니다. ..

국내외 보안동향 2020. 5. 14. 14:30

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2020년 5월 10일부터 국내 사용자를 대상으로 Paymen45 랜섬웨어가 대량으로 유포 중이어서 주의가 필요합니다. 해당 랜섬웨어는 정확한 감염경로가 아직 확인되진 않았으나 악성 이메일 첨부파일 또는, 불법SW 크랙버전을 위장하여 유포가 되고 있는 것으로 추정됩니다. 이번에 확인된 Paymen45 랜섬웨어는 현재까지 ESRC에서 발견된 변종을 포함하여 크게 2종류로 확인됩니다.랜섬웨어 기능 자체는 유사하지만, 독특한 점도 몇가지 발견할 수 있었습니다. 일단 초기에 발견된 Paymen45 랜섬웨어의 경우, 크롬 아이콘으로 자신을 위장하고 있습니다. (추가로 발견된 변종의 경우 크롬 아이콘으로 위장하지 않고 있습니다.) [그림 1] 크롬icon으..

악성코드 분석 리포트 2020. 5. 11. 16:33

Sodinokibi ransomware can now encrypt open and locked files Sodinokibi(REvil) 랜섬웨어가 다른 프로세스가 오픈한 후 잠금 상태인 파일을 암호화할 수 있는 새로운 기능을 추가했습니다. 데이터베이스나 메일 서버와 같은 일부 애플리케이션은 자신이 오픈한 파일을 잠가 다른 프로그램이 수정할 수 없도록 합니다. 이로써 두 프로세스가 동시에 한 파일에 데이터를 써서 데이터가 손상되는 것을 예방합니다. 이러한 이유로, 많은 랜섬웨어가 컴퓨터를 암호화하기 전 데이터베이스 서버, 메일 서버를 포함한 파일을 잠그는 애플리케이션을 종료하려 시도합니다. Sodinokibi, 파일을 잠그는 프로세스 자동으로 종료시켜 많은 랜섬웨어가 파일을 잠그는 것으로 알려진 애플리..

국내외 보안동향 2020. 5. 11. 10:16