안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2/26) 갠드크랩(GandCrab) 랜섬웨어를 유포하던 비너스락커 조직이 기존과 유사한 방식으로 구직시즌에 맞춰 입사지원서를 위장하여 갠드크랩(GandCrab) 랜섬웨어 v5.2을 새롭게 유포하는 정황이 포착되어 사용자들의 주의가 필요합니다. [그림 1] 메일 이미지 해당 메일의 특징은 이메일 제목이 없고 메일의 본문에는 "백만불짜리 열정을 보여드리겠습니다." "성실하고 꼼꼼한 지원자 입니다." 등과 같은 간단한 내용이 작성되어 있습니다. 해당 이력서에 첨부된 압축파일을 풀어보면, 압축파일 내에는 다음과 같은 파일들이 포함되어 있습니다. (메일 첨부파일마다 조금씩 상이할 수 있습니다.) [그림 2] 압축 파일 이미지 첨부파일에는 (파일명..

악성코드 분석 리포트 2019. 2. 26. 14:53

B0r0nt0K Ransomware Wants $75,000 Ransom, Infects Linux Servers B0r0nt0K이라는 신종 랜섬웨어가 피해자의 웹사이트를 암호화 시키고 20 비트코인(약 $75,000상당)을 요구하고 있습니다. 이 랜섬웨어는 리눅스 서버를 감염시키는 것으로 알려졌으나, 윈도우 사용자들을 암호화할 수 있을 가능성도 있는 것으로 나타났습니다. BleepingComputer 포럼의 한 사용자는 고객의 웹사이트가 신종 B0r0nt0K 랜섬웨어에 감염되었다고 제보했습니다. 이 암호화된 웹 사이트는 우분투 16.04에서 실행되고 있었으며, 모든 파일이 암호화되고, 이름이 변경되고 .rontok 확장자가 붙었습니다. 이 랜섬웨어의 샘플은 아직까지 발견 되지 않아, 등록된 파일들 및 ..

국내외 보안동향 2019. 2. 26. 09:18

안녕하세요. 이스트시큐리티입니다. '사이버 보안 위협' 하면 어떤 키워드가 떠오르시나요? 아무래도 최근 몇 년 간은 랜섬웨어가 가장 흔하게, 가장 자주 접하게 되는 보안 위협이지 않았나 싶은데요. 주위에서 '나 랜섬웨어 걸려서 자료 다 날아갔어ㅠㅠ' 하는 이야기를 심심치 않게 들을 수 있고, 알약 블로그만 봐도 입사지원서, 쇼핑몰 할인쿠폰 등으로 위장한 새로운 랜섬웨어 공격을 발견할 수 있습니다. 랜섬웨어란?Ransom(몸값)과 Software(소프트웨어)란 단어가 합쳐져서 생성된 단어로 PC에 존재하는 중요한자료들을 암호화한 후, 암호화된 파일들을 볼모로 삼고 피해자로 하여금 돈을 지불하도록 강요하는 악성코드입니다. 랜섬웨어의 최근 공격 형태 (LINK) >> 그럼에도 랜섬웨어가 나와는 거리가 먼 이야..

안전한 PC&모바일 세상/PC&모바일 TIP 2019. 2. 26. 08:58

Cr1ptT0r Ransomware Infects D-Link NAS Devices, Targets Embedded Systems 임베디드 시스템용으로 제작된 새로운 랜섬웨어인 Cr1ptT0r가 인터넷에 노출된 NAS 장비를 노리는 것으로 나타났습니다. Cr1ptT0r는 한 사용자가 D-Link DNS-320 장비가 랜섬웨어에 감염된 것을 Bleeping Computer 측에 제보하여 알려졌습니다. D-Link는 DNS-320 제품을 더 이상 판매하지 않지만, 제품 페이지에는 아직까지 지원 되는 것으로 표시되었습니다. 하지만 최신 펌웨어는 2016년에 출시되었으며, 이 장비를 해킹하는데 사용할 수 있는 많은 알려진 버그들이 존재하는 상태입니다. 아직까지 자세한 정보는 밝혀지지 않았지만, 이 랜섬웨어의 공..

국내외 보안동향 2019. 2. 25. 08:49

Heart attack: Ransomware encrypts Australian cardiac clinic’s patient files 호주 멜버른의 심장 병원 카브리니(Cabrini)가 1월 랜섬웨어 공격을 받은 이후 약 1만 5000명의 환자 의료 기록에 접근하지 못하고 있습니다. The Age 뉴스에 따르면 암호화된 자료 복구를 위해 암호 화폐를 지불했지만, 일부 파일은 복구되지 않았으며, 이 중에는 환자의 신상 정보 및 신분 도용에 사용될 수 있는 민감한 의료 기록이 포함돼 있다고 밝혔습니다. 일부 환자들은 자신의 의료 기록이 분실되었지만 어떤 설명도 받지 못했다고 말했으며, 몇몇 사람들은 의료 기록 없이 진료를 위해 병원을 방문했습니다. 멜버른 심장 병원의 대변인은 이 문제를 해결하기 위해 호주..

국내외 보안동향 2019. 2. 22. 17:09

GandCrab Decryptor Available for v5.1, New 5.2 Variant Already Out 갠드크랩(GandCrab)의 최신 버전에 감염된 사용자들이 사용할 수 있는 무료 복호화 툴이 공개되었습니다. 이는 갠드크랩 버전 4 ~ 5.1 및 이전 버전 일부를 통해 암호화된 데이터의 잠금을 해제할 수 있습니다. 이 툴은 보안 업체인 비트디펜더(Bitdefender), 루마니아 경찰, 유로폴 및 기타 전 세계법 집행부가 협력하여 얻은 결실입니다. 이 툴은 갠드크랩 2.x, 3.x로 암호화된 데이터에는 사용할 수 없습니다. 비트디펜더 측은 갠드크랩 2.x 및 3.x에 감염된 소수의 사람들도 도움을 받을 수 있도록 복호화 툴을 만들기 위해 노력 중이라고 밝혔습니다. 이 툴은 2.x 및 ..

국내외 보안동향 2019. 2. 20. 10:31

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 공격자가 지속적으로 새로운 도메인을 등록하여 갠드크랩 랜섬웨어를 유포하고 있어 사용자들의 주의가 필요합니다. [그림 1] 악성 메일 공격자가 이번에는 freehaksa.com 도메인을 이용하여 랜섬웨어를 유포하였습니다. 해당 공격자는 국내에 끊임없이 갠드크랩(GandCrab) 랜섬웨어를 유포하고 있는 자로서, 하루에도 몇번씩 새로운 도메인을 등록하여 공격을 진행하고 있습니다. [그림 2] 공격자가 등록한 새로운 도메인들 확인 결과, 이번에 공격자가 사용한 freehaksa.com 도메인은 1월 25일날 등록된 도메인으로 확인되었으며, 이 공격자에 대해서는 국내 또 다른 보안업체인 안랩에서도 주의를 당부한 적이 있습니다. 이번에도 역시 기존과 유..

악성코드 분석 리포트 2019. 2. 4. 15:46

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 이스트시큐리티는 2018년도 한 해 동안의 랜섬웨어 동향을 정리해 보았습니다. 2018년에는 어떠한 랜섬웨어들이 등장했으며, 랜섬웨어들의 특징은 무엇이 있는지 알아보겠습니다. GandCrab 랜섬웨어의 등장 GandCrab랜섬웨어는 감히 2018년을 대표하는 랜섬웨어라고도 부를 수 있겠습니다. GandCrab 랜섬웨어는 2018년 2월, 러시아의 해킹 커뮤니티에서 RaaS 형태로 처음 발견된 이후 꾸준히 변종이 등장했으며, 1.0 버전부터 현재까지 5번의 메이저 업데이트와 여러 번의 마이너 업데이트를 진행하였으며, 2018년 12월 말까지 5.1.9 버전까지 공개됐습니다. GandCrab 랜섬웨어는 해외 뿐만 아니라 국내에서도 다양한 수법으로 ..

악성코드 분석 리포트 2019. 2. 1. 10:13