안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2019년 상반기 등장한 Clop랜섬웨어는 최근까지도 발견되고 있습니다. 이번에 발견된 악성코드는 내부 코드를 변화시켜 백신 탐지를 우회 시도합니다. [그림] 랜섬웨어 코드 중 일부 이 악성코드는 감염 PC의 파일과 연결되어 있는 네트워크 자원들을 암호화시켜 사용자에게 돈을 요구하는 랜섬웨어입니다. 공격자는 백신 삭제 코드를 추가함으로써 탐지 우회를 시도하며 지속적으로 변화를 하고 있는 악성코드입니다. 따라서 사용자는 이를 예방하기 위해 출처가 불분명한 이메일 첨부파일 실행을 지양하며 주기적인 백신 업데이트를 습관화하여야 합니다. 현재 알약에서는 해당 악성 코드를 ‘Trojan.Ransom.Clop’ 탐지 명으로 진단하고 있으며, 관련 상..

악성코드 분석 리포트 2020. 2. 17. 16:16

DoppelPaymer Ransomware Sells Victims' Data on Darknet if Not Paid DoppelPaymer 랜섬웨어가 피해자가 돈을 지불하지 않을 경우 훔친 파일을 판매하거나 공개하겠다고 선언했습니다. 최근 여러 랜섬웨어 운영자들이 피해자의 기기를 암호화하기 전 파일을 훔치는 전략을 사용하고 있습니다. 이는 피해자가 랜섬머니를 지불하지 않을 경우 해당 데이터를 공개하거나 판매하겠다며 협박하는 형식입니다. 이 새로운 전략은 2019년 11월 Maze 랜섬웨어가 Allied Universal을 공격 후 랜섬머니를 받을 수 없게 되자 훔친 파일을 공개함으로써 시작되었습니다. 그 이후 Sodinokibi/REvil 랜섬웨어 또한 훔친 데이터를 게시했으며, Nemty 랜섬웨어는..

국내외 보안동향 2020. 2. 5. 10:03

5ss5c Ransomware emerges after Satan went down in the hell Satan, DBGer, Lucky 랜섬웨어를 운영했으며 Iron 랜섬웨어도 운영한 것으로 추측되는 공격자들이 새로운 악성코드인 ‘5ss5c’로 활동을 재개한 것으로 나타났습니다. Blaze는 공격자가 적어도 2019년 11월부터 5ss5c를 개발해온 것으로 보이며, 현재까지도 개발 중인 것으로 추측했습니다. 실제로 전문가들은 코드 내에서 Enigma VirtualBox로 패킹된 두 번째 스프레더모듈인 poc.exe를 발견했습니다. “5ss5c가 아직까지 개발 중인 상태이며 Satan 랜섬웨어에서 파생된 것으로 추측할 수 있는 근거가 몇가지 있습니다.” “모듈 이름인 ‘poc’는 개념 증명(Proof..

국내외 보안동향 2020. 1. 17. 09:47

안녕하세요 ESRC 입니다. 최근 소디노키비(Sodinokibi) 랜섬웨어의 커스텀 변종이 자주 발견되고 있어 사용자들의 주의가 필요합니다. 랜섬웨어의 커스텀 변종이란, 기존 랜섬웨어 랜섬노트의 텍스트 일부를 해커가 임의로 수정한 버전을 말합니다. 소디노키비(Sodinokibi) 랜섬웨어의 커스텀 변종은 기존 소디노키비(Sodinokibi) 랜섬웨어 변종들과 동일한 특징을 갖고 있지만, 일부 랜섬노트의 파일명과 내용을 일부 변경하였습니다. [그림1] 기존 Sodinokibi 랜섬웨어 랜섬노트 [그림2] Sodinokibi 랜섬웨어 커스텀 변종 랜섬노트 이런 랜섬웨어 커스텀 변종들의 경우 주로 특정 타겟에 맞춰 커스터마이징 하는 특징을 갖고 있습니다. 일례로, 연말에 유포된 소디노키비(Sodinokibi)..

악성코드 분석 리포트 2020. 1. 14. 13:14

Nemty Ransomware to Start Leaking Non-Paying Victim's Data Nemty 랜섬웨어가 피해자가 랜섬머니를 지불하지 않을 경우 훔친 데이터를 게시하는 블로그를 개설할 계획인 것으로 나타났습니다. Maze 랜섬웨어가 먼저 시작하여 이제 Sodinokibi 랜섬웨어 또한 시행하기 시작한 이 새로운 전략은 암호화 하기 전의 회사들의 파일을 훔치는 것입니다. 만약 피해자가 랜섬머니를 지불하지 않을 경우 훔친 데이터는 지불이 완료되기 전까지 조금씩 공개하거나 모두 공개합니다. 이는 데이터 유출로 인한 벌금, 공지에 드는 비용, 거래 및 기업 비밀 유출, 브랜드 이미지 타격, 개인 정보 공개로 인한 소송에 드는 비용보다는 랜섬머니가 상대적으로 저렴하므로 기업이 랜섬머니를 지불..

국내외 보안동향 2020. 1. 14. 09:52

VPN warning: REvil ransomware targets unpatched Pulse Secure VPN servers REvil(Sodinokibi) 랜섬웨어 운영자들이 대규모 조직을 협박하기 위한 발판을 마련하고, 안티바이러스를 비활성화하기 위해 패치되지 않은 Pulse Secure VPN 서버를 공격하기 시작했습니다. 한 보안 연구원은 Pulse Secure VPN을 사용하는 조직들에 ‘Big Game’ 랜섬웨어 공격에 피해를 입고 싶지 않다면 당장 패치를 적용해야 한다고 경고했습니다. 공격자들은 Shodan.io IoT 검색 엔진을 통해 취약한 VPN 서버를 쉽게 찾아낼 수 있는 것으로 나타났습니다. 영국의 보안 연구원인 Kevin Beaumont는 REvil 랜섬웨어를 ‘Big gam..

국내외 보안동향 2020. 1. 7. 09:44

DeathRansom evolves from joke to actual ransomware 사이버 보안 업체인 Fortinet이 장난일 뿐이었던 DeathRansom이 견고한 암호화 체계를 통해 실제로 파일을 암호화하고 있다고 발표했습니다. 이 랜섬웨어는 탄탄한 배포 캠페인을 통해 지난 2달 동안 매일 피해자를 발생시켰습니다. 첫 DeathRansom 감염은 2019년 11월 발생했습니다. 이 랜섬웨어의 초기 버전은 그저 농담으로 여겨졌습니다. 당시 DeathRansom은 사용자의 파일을 전혀 암호화하지 않았으며 랜섬웨어 흉내만 냈었습니다. 첫 번째 버전은 모든 사용자 파일에 확장자를 추가하고 시스템에 사용자에게 돈을 요구하는 랜섬노트를 드롭했습니다. 이 모든 작업은 실제로 사용자의 파일을 암호화하지 않..

국내외 보안동향 2020. 1. 6. 09:28

Maze Ransomware Releases Files Stolen from City of Pensacola Maze 랜섬웨어 배후의 공격자가 랜섬웨어 공격 당시 Pensacola 시에서 도난당한 것으로 알려진 2GB의 파일을 공개했습니다. 이달 초 펜사콜라 시는 랜섬웨어 공격을 받아 도시의 이메일 서비스와 일부 전화 서비스에 영향을 받았으며, 일부 컴퓨터 시스템이 마비되었습니다. 그리고 공격자는 네트워크를 암호화하기 전 펜사콜라 시의 데이터를 훔쳤고, 파일 복호화를 위해 백만 달러의 몸값을 요구했습니다. 어제 Maze 랜섬웨어 배후의 공격자들은 탈취한 데이터 32GB 파일 중 일부인 2GB를 공개했습니다. 이들은 랜섬웨어 공격 때 데이터를 탈취했다는 것을 증명하기 위해, 몇몇 데이터를 언론에 공개했다고..

국내외 보안동향 2019. 12. 27. 09:00