New ‘Cheers’ Linux ransomware targets VMware ESXi servers 새로운 랜섬웨어인 'Cheers'가 취약한 VMware ESXi 서버를 노리기 시작한 것으로 나타났습니다. VMware ESXi는 전 세계 대규모 조직에서 흔히 사용하는 가상화 플랫폼으로, 암호화될 경우 기업 운영에 심각한 타격을 입습니다. 많은 랜섬웨어 그룹이 과거 VMware ESXi 플랫폼을 노렸으며, 최근에는 LockBit 및 Hive또한 이를 노렸습니다. Cheers 랜섬웨어는 Trend Micro의 연구원이 발견했으며, 새로운 변종은 'Cheerscrypt'라 명명되었습니다. 감염 및 암호화 공격자가 VMware ESXi 서버를 해킹하면, 암호화기를 실행해 실행 중인 가상 머신을 자동으로 열..

국내외 보안동향 2022. 5. 26. 09:00

New Chaos Ransomware Builder Variant "Yashma" Discovered in the Wild 사이버 보안 연구원들이 Chaos 랜섬웨어 라인의 최신 버전인 Yashma에 대한 자세한 정보를 공개했습니다. 블랙베리의 연구 및 인텔리전스 팀은 보고서를 통해 아래와 같이 밝혔습니다. "Chaos 랜섬웨어 빌더는 실제 공격에서 발견된지 1년 밖에 되지 않지만, Yashma는 이 악성코드의 6번째 버전(v6.0)이라 주장하고 있습니다." Chaos는 2021년 6월 9일 언더그라운드 포럼에서 등장한 커스텀 랜섬웨어 빌더로, 겹치는 부분이 발견되지 않았음에도 Ryuk의 .NET 버전이라 거짓으로 홍보했습니다. 악성코드가 판매용으로 제공될 경우 모든 공격자가 빌더를 구입해 자체 랜섬웨어..

국내외 보안동향 2022. 5. 25. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 작년 하반기부터 활동중인 Mallox 랜섬웨어는 2022년 3월 랜섬웨어 패밀리들을 대상으로 진행된 통계에서 기업 타겟 랜섬웨어로 1위를 차지했습니다. 현재까지 국내에 감염된 사례는 보고된 적 없지만 봇넷, 네트워크 유포, 취약한 암호 등 다양한 방식을 통해 유포 중인 것으로 알려진 Mallox 랜섬웨어를 분석하고자 합니다. Mallox 랜섬웨어는 사용자 PC의 데이터를 암호화하여 금전을 요구하는 악성코드입니다. 시스템 언어가 러시아어, 카자흐어, 벨라루스어, 우크라이나어, 타타르어일 경우 암호화 작업 없이 프로세스를 종료하는 것과 사용자의 APR table에서 IP 주소와 관리 목적의 공유 폴더를 사용하여 랜섬웨어를 전파한다는 특징이 있..

악성코드 분석 리포트 2022. 5. 18. 09:00

Eternity malware kit offers stealer, miner, worm, ransomware tools 공격자들이 범죄자들이 원하는 공격에 따라 다양한 모듈로 커스텀이 가능한 악성코드 툴킷인 'Eternity Project' 서비스 형식으로 판매하기 시작했습니다. 해당 악성코드 툴킷은 모듈식이며 정보 스틸러, 코인 채굴기, 클리퍼, 랜섬웨어 프로그램, 웜 확산기를 포함하며 곧 DDoS(분산 서비스 거부) 봇도 포함될 수 있습니다. 또한 각각의 모듈을 별도로 구매하는 것도 가능합니다. 할 수 있으며 각각 별도로 구매합니다. 위 내용은 500명 이상의 회원이 있는 전용 Telegram 채널에서 홍보되고 있으며, 제작자는 여기에서 업데이트, 사용 지침에 대한 정보를 게시하고 기능을 개선하기 위..

국내외 보안동향 2022. 5. 13. 14:00

REvil ransomware returns: New malware sample confirms gang is back 러시아와 미국 사이의 긴장이 고조되고 있는 가운데, 악명 높은 REvil 랜섬웨어가 다시 활동을 재개했습니다. 새로운 버전은 새로운 인프라와 개선된 암호화기를 통해 표적화된 공격이 가능해졌습니다. 지난 10월 법 집행 기관이 REvil 랜섬웨어의 Tor 서버를 압수한 후 러시아의 법 집행 기관이 그룹의 멤버를 체포하여 활동을 중단했습니다. 하지만, 러시아는 우크라이나 침공 이후 미국이 REvil 그룹에 대한 협상 과정을 포기하고 관련된 통신 채널을 폐쇄했다고 밝힌 바 있습니다. 다시 살아난 REvil의 Tor 사이트 이후 얼마 지나지 않아, 기존 REvil의 Tor 인프라가 다시 작동하..

국내외 보안동향 2022. 5. 2. 09:00

Conti ransomware operations surge despite the recent leak Secureworks의 연구원들이 러시아에 기반을 둔 공격자인 Gold Ulrick으로 추적되는 Conti 랜섬웨어 그룹이 최근 내부 활동에 대한 데이터가 유출되었음에도 불구하고 여전히 계속해서 활동하고 있다고 밝혔습니다. 이 그룹의 활동은 2021년 정점을 찍었던 수준으로 되돌아갔습니다. 해당 그룹은 이들의 통신, 소스코드, 운영 세부 정보가 공개된 것에 대해 신속히 대응했습니다. Secureworks Conter Threat Unit(CTU)에서는 아래와 같이 밝혔습니다. "2022년 2월 Conti의 누출 사이트에 등록된 피해자의 수가 증가했습니다. 2월 27일, 트위터 계정 @ContiLeaks..

국내외 보안동향 2022. 4. 28. 14:00

Stormous ransomware gang claims to have hacked Coca-Cola Stormous 랜섬웨어 그룹이 그들의 유출 사이트에 글로벌 음료 회사인 Coca-Cola Company를 해킹했다고 발표했습니다. 이 해킹 그룹은 회사의 일부 서버를 해킹한 후 161GB에 달하는 데이터를 훔쳤다고 밝혔습니다. 이 해킹 그룹은 최근 텔레그램 채널 회원들에게 다음 타깃 회사를 선택하도록 요청하는 설문 조사를 진행했으며, 그 결과 코카콜라가 가장 많은 표를 받았습니다. 해당 해킹 그룹은 공지를 통해 아래와 같이 알렸습니다. “대규모 음료회사(코카콜라)가 투표로 선정되었기 때문에, 이들의 그들의 서버 중 일부를 해킹하고 161GB의 데이터를 훔쳤습니다.” “다크 웹의 우리 자체 웹사이트에 스..

국내외 보안동향 2022. 4. 27. 14:00

Quantum ransomware seen deployed in rapid network attacks 2021년 8월에 처음 발견된 Quantum 랜섬웨어 변종이 피해자에게 대응할 시간을 거의 주지 않는 신속한 공격을 수행하는 것으로 나타났습니다. 공격자는 IcedID 악성코드를 초기 액세스 벡터 중 하나로 사용하며, 공격은 원격 접근을 위해 Cobalt Strike를 배포하고, Quantum Locker를 통한 데이터 도난 및 암호화로 이어집니다. Quantum 랜섬웨어 공격을 분석한 DFIR 연구원은 해당 공격이 초기 감염에서 기기 암호화 완료까지 약 3시간 44분 걸렸다고 밝혔습니다. IcedID를 초기 액세스로 사용해 DFIR의 보고서에 따르면, 공격은 IcedID 악성코드를 타깃 시스템에 대한..

국내외 보안동향 2022. 4. 26. 14:00