안녕하세요 ESRC 입니다. 최근 소디노키비(Sodinokibi) 랜섬웨어의 커스텀 변종이 자주 발견되고 있어 사용자들의 주의가 필요합니다. 랜섬웨어의 커스텀 변종이란, 기존 랜섬웨어 랜섬노트의 텍스트 일부를 해커가 임의로 수정한 버전을 말합니다. 소디노키비(Sodinokibi) 랜섬웨어의 커스텀 변종은 기존 소디노키비(Sodinokibi) 랜섬웨어 변종들과 동일한 특징을 갖고 있지만, 일부 랜섬노트의 파일명과 내용을 일부 변경하였습니다. [그림1] 기존 Sodinokibi 랜섬웨어 랜섬노트 [그림2] Sodinokibi 랜섬웨어 커스텀 변종 랜섬노트 이런 랜섬웨어 커스텀 변종들의 경우 주로 특정 타겟에 맞춰 커스터마이징 하는 특징을 갖고 있습니다. 일례로, 연말에 유포된 소디노키비(Sodinokibi)..

악성코드 분석 리포트 2020. 1. 14. 13:14

Nemty Ransomware to Start Leaking Non-Paying Victim's Data Nemty 랜섬웨어가 피해자가 랜섬머니를 지불하지 않을 경우 훔친 데이터를 게시하는 블로그를 개설할 계획인 것으로 나타났습니다. Maze 랜섬웨어가 먼저 시작하여 이제 Sodinokibi 랜섬웨어 또한 시행하기 시작한 이 새로운 전략은 암호화 하기 전의 회사들의 파일을 훔치는 것입니다. 만약 피해자가 랜섬머니를 지불하지 않을 경우 훔친 데이터는 지불이 완료되기 전까지 조금씩 공개하거나 모두 공개합니다. 이는 데이터 유출로 인한 벌금, 공지에 드는 비용, 거래 및 기업 비밀 유출, 브랜드 이미지 타격, 개인 정보 공개로 인한 소송에 드는 비용보다는 랜섬머니가 상대적으로 저렴하므로 기업이 랜섬머니를 지불..

국내외 보안동향 2020. 1. 14. 09:52

VPN warning: REvil ransomware targets unpatched Pulse Secure VPN servers REvil(Sodinokibi) 랜섬웨어 운영자들이 대규모 조직을 협박하기 위한 발판을 마련하고, 안티바이러스를 비활성화하기 위해 패치되지 않은 Pulse Secure VPN 서버를 공격하기 시작했습니다. 한 보안 연구원은 Pulse Secure VPN을 사용하는 조직들에 ‘Big Game’ 랜섬웨어 공격에 피해를 입고 싶지 않다면 당장 패치를 적용해야 한다고 경고했습니다. 공격자들은 Shodan.io IoT 검색 엔진을 통해 취약한 VPN 서버를 쉽게 찾아낼 수 있는 것으로 나타났습니다. 영국의 보안 연구원인 Kevin Beaumont는 REvil 랜섬웨어를 ‘Big gam..

국내외 보안동향 2020. 1. 7. 09:44

DeathRansom evolves from joke to actual ransomware 사이버 보안 업체인 Fortinet이 장난일 뿐이었던 DeathRansom이 견고한 암호화 체계를 통해 실제로 파일을 암호화하고 있다고 발표했습니다. 이 랜섬웨어는 탄탄한 배포 캠페인을 통해 지난 2달 동안 매일 피해자를 발생시켰습니다. 첫 DeathRansom 감염은 2019년 11월 발생했습니다. 이 랜섬웨어의 초기 버전은 그저 농담으로 여겨졌습니다. 당시 DeathRansom은 사용자의 파일을 전혀 암호화하지 않았으며 랜섬웨어 흉내만 냈었습니다. 첫 번째 버전은 모든 사용자 파일에 확장자를 추가하고 시스템에 사용자에게 돈을 요구하는 랜섬노트를 드롭했습니다. 이 모든 작업은 실제로 사용자의 파일을 암호화하지 않..

국내외 보안동향 2020. 1. 6. 09:28

Maze Ransomware Releases Files Stolen from City of Pensacola Maze 랜섬웨어 배후의 공격자가 랜섬웨어 공격 당시 Pensacola 시에서 도난당한 것으로 알려진 2GB의 파일을 공개했습니다. 이달 초 펜사콜라 시는 랜섬웨어 공격을 받아 도시의 이메일 서비스와 일부 전화 서비스에 영향을 받았으며, 일부 컴퓨터 시스템이 마비되었습니다. 그리고 공격자는 네트워크를 암호화하기 전 펜사콜라 시의 데이터를 훔쳤고, 파일 복호화를 위해 백만 달러의 몸값을 요구했습니다. 어제 Maze 랜섬웨어 배후의 공격자들은 탈취한 데이터 32GB 파일 중 일부인 2GB를 공개했습니다. 이들은 랜섬웨어 공격 때 데이터를 탈취했다는 것을 증명하기 위해, 몇몇 데이터를 언론에 공개했다고..

국내외 보안동향 2019. 12. 27. 09:00

안녕하세요? 이스트시큐리티입니다. 한국침해사고대응팀협의회가 주최한 해킹방지워크샵에서 한국인터넷진흥원(KISA)은 ‘사이버위협 인텔리전스 네트워크’에 참여하는 국내 주요 보안업체 6개사와 함께 2020년도 7대 사이버 공격 전망을 발표했는데요. 이스트시큐리티가 속한 사이버위협 인텔리전스 네트워크와 한국인터넷진흥원이 함께 발표한 7대 사이버 공격 전망은 과연 무엇인지 바로 알려드리겠습니다! 기사 보러가기>>> KISA, 국내 보안업체와 2020년 7대 사이버 공격 전망 발표 2020년 7대 사이버 공격 전망 포스터(포스터 출처 : KISA) 사이버 위협 인텔리전스 네트워크란? 사이버위협 인텔리전스 네트워크는 사이버 위협정보 공유 및 침해사고 공동 대응을 위해 한국인터넷진흥원과 이스트시큐리티, 안랩, 빛스캔,..

이스트시큐리티 소식 2019. 12. 6. 17:00

Clop Ransomware Tries to Disable Windows Defender, Malwarebytes Clop CryptoMix 랜섬웨어가 피해자의 데이터를 암호화하기 위해서 윈도우 디펜더 및 마이크로소프트 시큐리티 에센셜, Malwarebytes의 백신을 비활성화하려 시도하는 것으로 나타났습니다. Clop은 CryptoMix 랜섬웨어의 변종으로, Clop 확장자를 사용하며 랜섬노트의 이름은 ClopReadMe.txt이며 "Dont Worry C|0P"이라는 메시지를 포함하고 있습니다. 이러한 이유로 이는 Clop 랜섬웨어로 명명되었습니다. 보안 연구원에 따르면, Clop 공격자들은 윈도우 디펜더를 비활성화하기 위해 암호화를 시작하기 전 다양한 보안 소프트웨어 비활성화를 시도하는 프로그램을 ..

국내외 보안동향 2019. 11. 25. 10:00

PureLocker Ransomware Can Lock Files on Windows, Linux, and macOS 사이버 범죄자들이 모든 주요 OS에서 작동되는 랜섬웨어를 개발해 프로덕션 서버를 공격하고 있는 것으로 나타났습니다. 이 새로운 랜섬웨어의 이름은 PureLocker입니다. 악성코드 연구원들은 윈도우용 샘플을 분석했지만, 리눅스용 변종 또한 실제 공격에 사용되고 있습니다. 탐지우회 기능 이 악성코드는 탐지를 피하기 위하여 세심히 설계되었습니다. 악의적이거나 모호한 행동을 샌드박스 환경에 숨기고 Crypto++ 암호화 라이브러리로 위장하며 음악 재생 라이브러리에서 주로 찾아볼 수 있는 함수를 사용합니다. 예를 들어, 악성코드는 디버거 환경에서 실행되고 있는 것으로 판단되면 즉시 종료됩니다. ..

국내외 보안동향 2019. 11. 14. 10:40