Interpol: Ransomware attacks on hospitals are increasing 인터폴이 현재 코로나바이러스가 성행함에도 불구하고 랜섬웨어를 이용해 병원을 공격하고 있다고 경고했습니다. 다양한 랜섬웨어 변종 운영자들은 지난 달 BleepingComputer 측에 코로나바이러스 팬데믹으로 인해 건강 및 의료 관련 조직은 공격하지 않을 것이라 밝혔지만, 놀라운 일은 아닙니다. Maze 랜섬웨어는 의료 시설을 공격하지 않겠다고 선언하기 전 약품을 검사하는 회사로부터 훔친 데이터를 공개했으며, Ryuk은 병원이 매일 새로운 코로나바이러스 환자로 북새통을 이루는 와중에도 지속적으로 의료 기관을 공격했습니다. 러시아어를 구사하는 공격자들 또한 유럽의 제약 및 제조 회사 2곳에 랜섬웨어 공격을 ..

국내외 보안동향 2020. 4. 7. 14:26

안녕하세요? 이스트시큐리티 ESRC 입니다. 2020년 1분기, 알약을 통해 총 185,105건의 랜섬웨어 공격이 차단된 것으로 확인되었습니다. 이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약의 ‘랜섬웨어 행위 기반 차단 기능’을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 공격까지 포함하면 전체 공격은 더욱 많을 것으로 예상됩니다. 통계에 따르면, 2020년 1분기 알약을 통해 차단된 랜섬웨어 공격은 총 185,105건으로, 이를 일간 기준으로 환산하면 일 평균 약 2,057건의 랜섬웨어 공격이 차단된 것으로 볼 수 있습니다. ESRC는 1분기 랜섬웨어 주요 동향으로 랜섬웨어 공격자들의 '코로나 키워드 활용' 및 기존 ‘Sodinokibi&Nemty 랜섬웨어의 건재’를 꼽았습니다. 2..

전문가 기고 2020. 4. 7. 13:42

A hacker has wiped, defaced more than 15,000 Elasticsearch servers 최근 보안 연구원들에 따르면, 지난 2주 동안 공격자들이 암호 없이 공개되어있는 Elasticsearch 서버에 접근하여 서버에 저장되어 있던 정보들을 삭제한것으로 확인되었습니다. 이 공격자들은 공격 과정 중, 한 사이버 보안 회사의 이름을 남겨두어 다른 조직이 한 것처럼 위장하려 시도하였습니다. 이번 공격은, 2020년 3월 24일 전후로 처음 시작한 것으로 밝혀졌습니다. 보안연구원에 따르면, 이번 공격 중 공격자는 자동화된 스크립트를 사용하였으며, 이 스크립트는 통하여 외부 인터넷에 공개되어 있으며 비밀번호가 설정되어있지 않은 ElasticSearch 시스템을 서칭하는 역할을 합니다..

국내외 보안동향 2020. 4. 6. 15:51

안녕하세요. ESRC(시큐리티 대응센터)입니다. 비너스락커 조직이 지속적으로 공정거래위원회를 사칭하여 랜섬웨어를 유포중에 있어 사용자들의 주의가 필요합니다. [그림 1] 공정거래위원회 사칭 메일 비너스락커 조직은 이미 몇년 전 부터 공정거래위원회를 사칭하여 랜섬웨어를 유포하였으며, 유포하는 랜섬웨어 종류는 바뀌었지만 그 수법은 매우 유사합니다. 이에 ESRC에서는 공정거래위원회 사칭 악성메일에 대해 이미 여러차례 주의를 당부드렸었습니다. ※ 공정거래위원회 사칭 악성메일 관련 글 ▶ 공정거래위원회를 사칭한 악성 메일 주의! 비너스락커 조직의 소행으로 추정 (2020.01.03)▶ Nemty 랜섬웨어, 공문을 사칭한 악성 메일을 통해 지속적으로 유포중! (2019.11.13)▶ 비너스락커, 공정거래위원회 사..

악성코드 분석 리포트 2020. 4. 3. 09:25

안녕하세요. ESRC(시큐리티 대응센터)입니다. 비너스락커 조직, 여전히 이력서를 위장해 랜섬웨어 유포중인것으로 확인되었습니다. [그림 1] 이력서를 위장한 악성 메일 이번에 발견된 악성메일에 포함된 첨부파일도 기존에 유포되었던 악성파일들과 마찬가지로 압축파일 안에 또 다른 압축파일이 포함된 이중압축을 통해 보안sw의 탐지를 우회하려고 시도하고 있습니다. [그림 2] 압축파일 안에 또 다른 압축파일이 포함 이중압축 내부에는 pdf 파일을 위장한 exe 파일이 포함되어 있습니다. [그림 3] 이중압축 해제 후 보이는 파일 사용자가 만약 이중압축 해제 후, 압축파일에 포함되어 있던 실행파일을 실행하면 Nemty 랜섬웨어 3.1버전에 감염되게 됩니다. [그림 4] 랜섬노트 현재 알약에서는 해당 랜섬웨어에 대해..

악성코드 분석 리포트 2020. 4. 2. 15:48

Source code of Dharma ransomware now surfacing on public hacking forums 악명높은 Dharma 랜섬웨어의 소스코드가 러시아어 해킹 포럼 2 곳에서 판매를 시작했습니다. Dharma 랜섬웨어는 지난 2016년 2월 처음 등장했으며, 전문가들은 Crysis라 명명했습니다. Crysis 랜섬웨어는 ESET에서 처음 발견했으며 주로 러시아, 일본, 남한, 북한, 브라질의 시스템을 감염시켰습니다. 당시 공격자는 이중 확장자를 사용하는 이메일 첨부파일이나 악성 링크를 통해 이 랜섬웨어를 배포했습니다.2016년 11월, Crysis의 마스터 암호화 키가 온라인에 공개되었으며 Crysis 버전 2,3에 피해를 입은 사람들은 파일을 복호화 할 수 있었습니다. Cry..

국내외 보안동향 2020. 3. 31. 09:04

Three More Ransomware Families Create Sites to Leak Stolen Data 랜섬웨어 패밀리 3개가 돈을 지불하지 않는 피해자로부터 훔친 파일을 공개하기 위한 사이트를 추가로 개설했습니다. Maze 랜섬웨어가 돈을 지불하지 않기로 결정한 피해자로부터 훔친 데이터를 게시할 목적으로 만든 “뉴스”사이트를 개설한 후로, Sodinokibi/REvil, Nemty, DoppelPaymer 등 다른 랜섬웨어들도 그 뒤를 따랐습니다. BleepingComputer는 지난 2일 동안 다른 랜섬웨어 패밀리 3개 또한 유출 사이트를 개설한 것을 발견했습니다. 많은 랜섬웨어 측이 유출 사이트를 지속적으로 공개함에 따라, 이제는 랜섬웨어 공격을 데이터 유출 사건으로 간주해야 할 것입니다..

국내외 보안동향 2020. 3. 26. 15:32

CERT France – Pysa ransomware is targeting local governments 프랑스 CERT가 지방 정부를 노리는 새로운 랜섬웨어 공격에 대해 경고했습니다. 이 캠페인 운영자들은 Mespinoza 랜섬웨어의 새로운 버전인 Pysa 랜섬웨어를 배포하고 있는 것으로 나타났습니다. “ANSSI는 최근 프랑스의 지방 정부를 특히 노리는 컴퓨터 공격에 대한 제보를 받았습니다. 이 공격에는 랜섬웨어형 악성코드가 사용되었으며, 특정 파일을 사용할 수 없는 상태로 만들었습니다. 이 공격의 근원지가 어디인지는 밝혀지지 않았으며 현재 조사를 진행 중인 상태입니다.” 전문가에 따르면, 첫 번째 감염은 2019년 발견되었으며 피해자들은 악성코드로 인해 파일이 암호화 되었다고 신고했습니다. 이 ..

국내외 보안동향 2020. 3. 23. 13:47