FBI's new ransomware warning: Don't pay up, but if you do, tell us about it 정부 기관들에 대한 랜섬웨어 공격이 빈번히 발생하자, FBI가 랜섬웨어의 요구를 들어주는 것에 대한 새로운 입장을 발표했습니다. 이 대단한 랜섬웨어의 가장 최근 피해자는 미국 알라바마와 호주의 빅토리아에 위치한 병원이었습니다. 양쪽 모두 직원들이 IT 시스템을 복구하기 위한 작업중이었기 때문에 긴급하지 않은 환자들을 돌려보내야 했습니다. 정부 및 의료 서비스 제공처에 대한 공격으로 인해 피해자들은 제대로 백업 되었을지 모르는 데이터로부터 시스템을 복구하는 것이 나은지, 공격자에게 돈을 그냥 지불하는게 나을지 고민해야 했습니다. 다운타임으로 인한 비용이 랜섬 머니보다 클 ..

국내외 보안동향 2019. 10. 4. 10:27

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 특정 글로벌 물류 회사를 사칭해 Sodinokibi 랜섬웨어를 유포하는 악성 이메일 공격이 확인되고 있습니다. [그림 1] 글로벌 물류 회사를 사칭한 악성 이메일 악성 이메일에는 요청한 물품이 세관 신고서에 배송 주소를 식별할 수 없기 때문에 배송할 수 없다며 첨부된 세관 서류를 수정해 줄 것을 요구하고 있습니다. 메일 본문 내용은 어색한 표현들이 있긴 하나 매끄러운 편이며, 사칭한 글로벌 물류 회사의 이미지를 사용해 해당 회사에서 실제로 발송된 것처럼 사용자를 속이려 시도했습니다. 하지만 사용자가 메일에 첨부되어 있는 '세관 서류.zip' 압축파일을 해제하면, 'DHL 세관 신고서.doc.exe'라는 MS Word 문서파일을 위장한 실행 ..

악성코드 분석 리포트 2019. 9. 25. 10:42

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일 ESRC에서는 "(이름) 지원서"로 위장하여 Nemty 랜섬웨어를 유포하는 악성 캠페인 정황을 포착하였습니다. [그림 1] "(이름) 지원서"로 위장한 악성 메일 금일 지원서를 위장한 악성 메일 유포는 비너스락커(VenusLocker) 조직의 수행으로 추정하고 있으며, 이전에도(9/11) 비너스락커 조직은 Nemty 랜섬웨어를 유포한 바가 있습니다. ※ 관련글 바로가기 ▶ 비너스락커 조직, 입사지원서를 위장한 메일로 랜섬웨어 'Nemty' 유포 중! (2019.09.11)▶ 비너스락커 조직, 새로운 랜섬웨어 'Nemty' 유포 시작 (2019.08.27) 이번에 발견된 스팸 캠페인은 한메일 계정을 통해 발송되었으며, 기존에 발견된 메일과 ..

악성코드 분석 리포트 2019. 9. 23. 13:47

TFlower Ransomware - The Latest Attack Targeting Businesses 해커들이 노출된 원격 데스크톱 서비스를 해킹한 후 기업 환경을 노리는 최신 랜섬웨어인 TFlower를 설치하고 있는 것으로 나타났습니다. 랜섬웨어 개발자들이 기업과 정부 기관을 공격한 사례에서 막대한 돈을 벌었기 때문에 이를 타깃으로 하는 새로운 랜섬웨어가 개발된 것입니다. 8월 초 해커들은 TFlower 랜섬웨어를 실제 공격에 사용했습니다. 당시에는 보통의 랜섬웨어인 것으로 추측되었으나, 사고 대응을 진행했던 한 업체는 TFlower가 더욱 강해지고 있다고 밝혔습니다. RDP를 통한 접근 해커들은 노출된 원격 데스크톱 서비스를 해킹하여 기업 네트워크에 TFlower를 설치하고 있었습니다. 기기 침..

국내외 보안동향 2019. 9. 18. 10:24

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 구직/채용 지원서로 위장하여 Nemty 랜섬웨어를 유포하는 시도가 계속 발생하고 있습니다. [그림 1] 구직/채용 지원서로 위장한 악성메일 ESRC에서는 비너스락커 조직의 수행으로 추정하고 있으며, 비너스락커 조직은 8/27일 처음으로 신규 랜섬웨어인 Nemty를 유포한 바가 있습니다. ※ 관련글 바로가기 ▶ 비너스락커 조직, 새로운 랜섬웨어 'Nemty' 유포 시작 (2019.08.27) 이번에 발견된 스팸 캠페인 역시 이전과 동일하게 네이버 메일 계정을 통해 발송했습니다. 메일 내용은 입사지원서로 꾸몄습니다. 메일의 첨부파일은 7zip 형식으로 압축되어 있고, 압축파일 내부에는 PDF 문서로 위장한 악성 EXE 랜섬웨어가 포함되어 있습..

악성코드 분석 리포트 2019. 9. 11. 14:00

Lilocked Ransomware Actively Targeting Servers and Web Sites 서버를 공격하고, 저장된 데이터를 암호화하는 새로운 랜섬웨어가 발견되었습니다. 이 랜섬웨어를 두고 개발자들은 Lilu로, 연구원들은 Lilocked라 이름 붙였습니다. 확인된 감염 서버들은 모두 웹사이트로 구글 검색 결과에 암호화된 파일이 노출되고 있습니다. 이 랜섬웨어는 지난 7월 26일 보안 연구원인 Michael Gillespie가 ID Ransomware 사이트에 올라온 샘플을 확인하면서 발견되었습니다. 또 다른 보안 연구원인 Benkow는 해당 랜섬웨어를 발견하고 트위터에 공개했습니다. 구글에서는 이 랜섬웨어로 암호화되고 ".lilocked" 확장자가 붙은 파일이 있는 웹 서버에 대한 검..

국내외 보안동향 2019. 9. 9. 11:37

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 랜섬웨어 수가 급증하면서 파일을 암호화 하는 대신 파일의 데이터를 삭제하는 악성코드 유형이 발견되었습니다.‘GermanWiper’라 불리는 이 악성코드는 대부분 랜섬웨어와 동일한 증상을 보입니다. 제외 확장자 및 문자열이 존재하고 복호화를 위한 랜섬노트를 생성하거나 바탕화면도 변경합니다. 하지만 파일 암호화 대신 파일의 데이터를 ‘0’으로 덮어 씌운다는 점에서 기존 랜섬웨어와 차이점이 있다. 데이터가 파괴된 파일은 랜섬웨어와 마찬가지로 임의의 확장자가 추가됩니다. 따라서 본 보고서에서는 파일 암호화를 위장한 ‘Trojan.Ransom.Filecoder’에 대해 상세 분석하고자 합니다. 악성코드 상세 분석 1. 프로세스 인젝션공격자는 ..

악성코드 분석 리포트 2019. 8. 26. 13:00

안녕하세요?이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 유포되는 Sodinokibi 랜섬웨어 에 한가지 큰 변화가 생겼습니다.랜섬웨어에 감염되었을때 바뀌는 바탕화면 이미지와 랜섬노트에 기존 영어 메시지 외에 한국어 메시지와 중국어 메시지가 추가되었다는 부분입니다. 이달 초인 2019년 8월 5일에 유포된 Sodinokibi 랜섬웨어를 보면 감염시 변경되는 바탕화면 이미지와 랜섬노트 메시지에 영어로 작성된 내용만 있다는 것을 확인할 수 있습니다. [그림 1] 2019년 8월 5일에 유포된 Sodinokibi 랜섬웨어에 감염된 바탕화면 이미지 [그림 2] 2019년 8월 5일에 유포된 Sodinokibi 랜섬웨어의 랜섬노트 그러나, 8월 21일에 유포된 Sodinokibi 랜섬웨어를 살펴보면 랜섬노..

악성코드 분석 리포트 2019. 8. 21. 17:19