Netwalker Ransomware Infecting Users via Coronavirus Phishing 공격자들이 랜섬웨어 설치를 위해 코로나 바이러스(COVID-19) 피싱 이메일을 사용하고 있는 것으로 나타났습니다. 실제 이메일은 찾을 수 없었지만, MalwareHunterTeam은 코로나 바이러스 피싱 캠페인에 사용된 첨부파일을 찾을 수 있었습니다. 이 첨부파일은 Netwalker 랜섬웨어를 설치했습니다. Netwalker는 Mailto로도 불렸던 랜섬웨어 패밀리로 최근 기업과 정부 기관을 노리는 공격을 실행했습니다. 최근 공격 중 두드러지는 2건은 Toll 그룹과 일리노이주의 CHUPD(Champaign Urbana Public Health District)에 대한 공격입니다. NEtwal..

국내외 보안동향 2020. 3. 23. 08:32

Experts warn of a new strain of ransomware, the PXJ Ransomware IBM X-Force의 보안 연구원들이 새로운 PXJ 랜섬웨어를 발견했습니다. 이는 알려진 다른 랜섬웨어 패밀리와 코드를 공유하고 있지 않았습니다. PXJ 랜섬웨어는 2020년 초 처음으로 활동을 시작했으며, 타 랜섬웨어와 유사한 기능을 가지고 있습니다. 연구원들은 2월 29일 처음으로 이 랜섬웨어를 발견했습니다. 랜섬웨어의 샘플 2개가 VirusTotal에 업로드 되었습니다.PXJ 랜섬웨어의 이름은 암호화 후 추가되는 파일 확장자에서 따왔습니다. 이 악성코드는 XVFXGW로도 알려져 있습니다. 랜섬노트에 “XVFXGW“라는 문구를 포함하는 이메일 주소를 사용하기 때문입니다. (“xvfxgw3..

국내외 보안동향 2020. 3. 17. 10:58

Paradise Ransomware Distributed via Uncommon Spam Attachment 공격자들이 피싱 캠페인을 통해 Paradise 랜섬웨어를 다운로드 및 설치하는 엑셀 웹 쿼리 첨부파일을 보내기 시작한 것으로 나타났습니다. Paradise 랜섬웨어는 2017년 9월 처음 발견되었으며 꾸준한 활동을 이어왔습니다. 만들기 쉽고 흔히 사용되지 않는 IQY 첨부파일 사이버 보안 회사인 LastLine에 따르면 Paradise 랜섬웨어 운영자들이 혜택, 주문 등으로 위장한 이메일을 보내고 있었던 것으로 나타났습니다. 이 이메일에 첨부된 파일은 IQY 파일로, 오픈되면 PowerShell 명령을 포함한 원격 사이트로 연결됩니다. 이 명령이 실행되면 Paradise 랜섬웨어를 다운로드 및 설..

국내외 보안동향 2020. 3. 11. 14:12

Ryuk Ransomware Behind Durham, North Carolina Cyberattack 노스 캐롤라이너의 더럼시(City of Durham, North Carolina)가 지난 주말 Ryuk 랜섬웨어 공격을 받아 네트워크 운영을 중단했습니다. 지역 언론은 해당 시가 Ryuk 랜섬웨어를 설치하는 피싱 공격에 피해를 입었다고 보도했습니다. “SBI에 따르면, Ryuk 랜섬웨어는 피해자가 이메일의 첨부파일을 열면 네트워크로 침투할 수 있게 됩니다. 침투에 성공하면 파일 공유를 통해 네트워크 서버에서 개별 컴퓨터로 확산될 수 있습니다.” 더럼시는 네트워크 전체에 공격이 확산되는 것을 막기 위해 더럼 경찰서, 더럼 보안관 사무실, 통신 센터의 DCI 네트워크로의 모든 접근을 임시로 비활성화했습니다..

국내외 보안동향 2020. 3. 10. 10:15

PwndLocker Ransomware Gets Pwned: Decryption Now Available Emsisoft에서 피해자가 돈을 지불하지 않고도 새로운 PwndLocker 랜섬웨어로 암호화된 파일을 복호화할 수 있는 방법을 발견했습니다. PwndLocker는 최근 발견된 랜섬웨어이며 전 세계의 조직 및 도시를 노려 암호화한 후 네트워크 크기에 따라 $175,000부터 $660,000 이상의 랜섬머니를 요구합니다. 일리노이 주 라살 카운티(Lasalle County)는 이 랜섬웨어의 공격을 받았으며 공격자들은 50 비트코인($442,000 상당)을 요구했습니다. 세르비아 노비 사드(City of Novi Sad) 또한 공격을 받아 데이터 50TB가 암호화되었습니다. 랜섬웨어에서 취약점 발견돼 E..

국내외 보안동향 2020. 3. 6. 09:25

안녕하세요. ESRC(시큐리티 대응센터)입니다. 얼마 전 ESRC는 Makop 랜섬웨어를 유포하는 비너스락커 조직에 대해 경고한 적이 있습니다. ▶ 비너스락커 조직, 지원서 사칭 이메일을 통해 Makop 랜섬웨어 대량 유포중!! 비너스락커 조직은 2017년도부터 현재까지 국내에 랜섬웨어를 대량으로 유포하는 조직으로, 유포하는 랜섬웨어는 주기적으로 달라집니다. 얼마 전 까지 이 조직은 국내에 Nemty 랜섬웨어를 유포하였지만, 최근부터는 Nemty랜섬웨어가 아닌 Makop 랜섬웨어를 유포하고 있습니다. 뿐만 아니라, 백신 및 보안장비의 탐지를 우회하기 위하여 유포방식의 변화를 주고 있습니다. [그림 1] 이력서를 위장하고 있는 악성 메일 이번에 발견된 이력서 사칭 악성 메일 역시 국내 대형 포털 이메일 사..

악성코드 분석 리포트 2020. 3. 6. 08:32

DoppelPaymer Ransomware Used to Steal Data from Supplier to SpaceX, Tesla 록히드 마틴, SpaceX, 보잉과 같은 우주 항공 업체에 맞춤형 부품을 납품하는 회사가 파일을 암호화하고 데이터를 유출하는 랜섬웨어의 타깃이 된 것으로 나타났습니다. 콜로라도에 위치한 기업인 Visser Precision은 공격자가 회사의 데이터에 접근해 이를 탈취했다고 밝혔습니다. 한 보안 연구원은 유출된 회사의 파일 중 일부를 온라인에서 발견했습니다. Visser는 자동차 및 항공 산업을 포함한 여러 업계에서 사용하는 정밀 부품을 생산합니다. 이 회사의 고객들은 업무 특성상 매우 높은 보안 수준이 요구됩니다. Emsisoft의 위협 분석가인 Brett Callow는 해..

국내외 보안동향 2020. 3. 4. 16:38

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 국내에 Nemty 랜섬웨어를 유포하던 비너스락커 조직이 Nemty 랜섬웨어가 아닌 Makop 랜섬웨어를 대량으로 유포중에 있어 사용자들의 주의가 필요합니다. ※ 관련글 바로가기 ▶ 이력서 이메일을 위장하여 유포중인 Nemty 랜섬웨어 주의! 비너스락커 조직으로 추정 (2020.01.20)▶ 공정거래위원회를 사칭한 악성 메일 주의! 비너스락커 조직의 소행으로 추정 (2020.01.03) ▶ 비너스락커 조직, Nemty 2.2 랜섬웨어 여전히 유포중 (2019.12.10)▶ 비너스락커 조직, 구직의뢰 내용으로 Nemty 랜섬웨어 2.2 확산 중(2019.12.04)▶ Nemty 랜섬웨어, 공문을 사칭한 악성 메일을 통해 지속적으로 유포중! (2019.11..

악성코드 분석 리포트 2020. 3. 4. 15:43