RagnarLocker ransomware hits EDP energy giant, asks for €10M 유럽의 전기에너지기업 EDP가 Ragnar Locker 랜섬웨어의 공격을 받았으며, 1580 비트코인을 랜섬머니로 요구당하는 것으로 밝혀졌습니다. 10TB의 데이터 탈취 이번 공격과정중에서 Ragnar Locker 랜섬웨어는 edp기업의 10TB 민감데이터를 탈취하였으며, EDP 기업이 랜섬머니를 지불하지 않으면 이렇게 탈취한 민감 정보들을 공개하겠다고 협박하였습니다. Ragnar Locker 랜섬웨어가 공개한 웹페이지에는 "우리는 이미 EDP 그룹 서버의 10TB의 기밀문서를 탈취하였다. 이를 증명하기 위해, 우리는 기업의 내부망에서 내려받은 파일들의 캡쳐화면을 공개한다. 이 게시물은 임시게시물..

국내외 보안동향 2020. 4. 16. 14:30

Sodinokibi Ransomware crew chooses Monero for ransom payments Sodinokibi 랜섬웨어 배후에 있는 공격자들이 랜섬머니로 비트코인 대신 모네로 가상화폐를 요구하고 있는 것으로 나타났습니다. 법 집행 기관의 조사를 더욱 어렵도록 만들기 위함인 것으로 보입니다. 이들은 더 이상 랜섬머니를 비트코인으로 받지 않을 예정입니다. 모네로를 지불하기 위해 Tor 익명 네트워크를 사용하면 자금의 흔적을 추적하고 익명 공격자의 신상을 밝혀내기가 불가능해집니다. 모네로 가상화폐 체계의 모든 거래는 CryptoNote 애플리케이션 계층 프로토콜과 이 프로토콜에 구현된 난독화로 인해 익명으로 이루어집니다. “더 이상 랜섬머니로 BTC를 받지 않음을 알려드립니다. 피해자와 파..

국내외 보안동향 2020. 4. 14. 09:22

WannaRen新型病毒勒索0.05个比特币，已有大量网友中招 새로운 랜섬웨어인 'WannaRen' 랜섬웨어가 유포되고 있습니다. 이 랜섬웨어는 윈도우 시스템의 대부분 파일들을 암호화 하며, 암호화 후 확장자를 .WannaRen으로 변경합니다. 암호화 후에는 0.05비트코인을 랜섬머니로 요구하며, 사용자 PC암호화 후 팝업창을 띄워 랜섬노트와 함께 랜섬머니 지불방식을 알려줍니다. 랜섬노트는 중국어 번체자로 작성되어 있으며, 이메일 주소는 WannaRenemal@goat.si 입니다. 공격자는 랜섬머니 지불기한을 정해놓았는데, "만약 3일 내 랜섬머니를 지불하지 않으면 랜섬머니는 2배로 증가하며, 일주일 내 랜섬머니를 지불하지 않으면 파일은 영원히 복구할 수 없다"고 사용자를 협박합니다. 현재까지 각종 커뮤니티..

국내외 보안동향 2020. 4. 10. 08:07

Interpol: Ransomware attacks on hospitals are increasing 인터폴이 현재 코로나바이러스가 성행함에도 불구하고 랜섬웨어를 이용해 병원을 공격하고 있다고 경고했습니다. 다양한 랜섬웨어 변종 운영자들은 지난 달 BleepingComputer 측에 코로나바이러스 팬데믹으로 인해 건강 및 의료 관련 조직은 공격하지 않을 것이라 밝혔지만, 놀라운 일은 아닙니다. Maze 랜섬웨어는 의료 시설을 공격하지 않겠다고 선언하기 전 약품을 검사하는 회사로부터 훔친 데이터를 공개했으며, Ryuk은 병원이 매일 새로운 코로나바이러스 환자로 북새통을 이루는 와중에도 지속적으로 의료 기관을 공격했습니다. 러시아어를 구사하는 공격자들 또한 유럽의 제약 및 제조 회사 2곳에 랜섬웨어 공격을 ..

국내외 보안동향 2020. 4. 7. 14:26

안녕하세요? 이스트시큐리티 ESRC 입니다. 2020년 1분기, 알약을 통해 총 185,105건의 랜섬웨어 공격이 차단된 것으로 확인되었습니다. 이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약의 ‘랜섬웨어 행위 기반 차단 기능’을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 공격까지 포함하면 전체 공격은 더욱 많을 것으로 예상됩니다. 통계에 따르면, 2020년 1분기 알약을 통해 차단된 랜섬웨어 공격은 총 185,105건으로, 이를 일간 기준으로 환산하면 일 평균 약 2,057건의 랜섬웨어 공격이 차단된 것으로 볼 수 있습니다. ESRC는 1분기 랜섬웨어 주요 동향으로 랜섬웨어 공격자들의 '코로나 키워드 활용' 및 기존 ‘Sodinokibi&Nemty 랜섬웨어의 건재’를 꼽았습니다. 2..

전문가 기고 2020. 4. 7. 13:42

A hacker has wiped, defaced more than 15,000 Elasticsearch servers 최근 보안 연구원들에 따르면, 지난 2주 동안 공격자들이 암호 없이 공개되어있는 Elasticsearch 서버에 접근하여 서버에 저장되어 있던 정보들을 삭제한것으로 확인되었습니다. 이 공격자들은 공격 과정 중, 한 사이버 보안 회사의 이름을 남겨두어 다른 조직이 한 것처럼 위장하려 시도하였습니다. 이번 공격은, 2020년 3월 24일 전후로 처음 시작한 것으로 밝혀졌습니다. 보안연구원에 따르면, 이번 공격 중 공격자는 자동화된 스크립트를 사용하였으며, 이 스크립트는 통하여 외부 인터넷에 공개되어 있으며 비밀번호가 설정되어있지 않은 ElasticSearch 시스템을 서칭하는 역할을 합니다..

국내외 보안동향 2020. 4. 6. 15:51

안녕하세요. ESRC(시큐리티 대응센터)입니다. 비너스락커 조직이 지속적으로 공정거래위원회를 사칭하여 랜섬웨어를 유포중에 있어 사용자들의 주의가 필요합니다. [그림 1] 공정거래위원회 사칭 메일 비너스락커 조직은 이미 몇년 전 부터 공정거래위원회를 사칭하여 랜섬웨어를 유포하였으며, 유포하는 랜섬웨어 종류는 바뀌었지만 그 수법은 매우 유사합니다. 이에 ESRC에서는 공정거래위원회 사칭 악성메일에 대해 이미 여러차례 주의를 당부드렸었습니다. ※ 공정거래위원회 사칭 악성메일 관련 글 ▶ 공정거래위원회를 사칭한 악성 메일 주의! 비너스락커 조직의 소행으로 추정 (2020.01.03)▶ Nemty 랜섬웨어, 공문을 사칭한 악성 메일을 통해 지속적으로 유포중! (2019.11.13)▶ 비너스락커, 공정거래위원회 사..

악성코드 분석 리포트 2020. 4. 3. 09:25

안녕하세요. ESRC(시큐리티 대응센터)입니다. 비너스락커 조직, 여전히 이력서를 위장해 랜섬웨어 유포중인것으로 확인되었습니다. [그림 1] 이력서를 위장한 악성 메일 이번에 발견된 악성메일에 포함된 첨부파일도 기존에 유포되었던 악성파일들과 마찬가지로 압축파일 안에 또 다른 압축파일이 포함된 이중압축을 통해 보안sw의 탐지를 우회하려고 시도하고 있습니다. [그림 2] 압축파일 안에 또 다른 압축파일이 포함 이중압축 내부에는 pdf 파일을 위장한 exe 파일이 포함되어 있습니다. [그림 3] 이중압축 해제 후 보이는 파일 사용자가 만약 이중압축 해제 후, 압축파일에 포함되어 있던 실행파일을 실행하면 Nemty 랜섬웨어 3.1버전에 감염되게 됩니다. [그림 4] 랜섬노트 현재 알약에서는 해당 랜섬웨어에 대해..

악성코드 분석 리포트 2020. 4. 2. 15:48