New LockerGoga Ransomware Allegedly Used in Altran Attack 해커들이 Altran Technologies의 시스템을 회사 네트워크를 통해 확산 되는 악성코드로 감염시켜 일부 유럽 국가의 운영에 영향을 미치고 있습니다. 고객의 데이터와 그들의 자산을 보호하기 위해, Altran은 네트워크와 응용프로그램을 중단시키기로 결정했습니다. 이 공격은 1월 24일 발생했지만, 이 프랑스의 기술 컨설팅 회사는 어제가 되어서야 공개 성명을 발표했습니다. 또한 세부 정보 공개를 최소한으로 하며, 써드파티 기술 전문가와 디지털 포렌식 전문가들이 조사 중이라 밝혔습니다. Altran, 새로운 랜섬웨어인 LockerGoga에 공격 받은 것으로 추정 Altran은 공격을 받은 악성 코드..

국내외 보안동향 2019. 1. 31. 16:32

안녕하세요? 이스트시큐리티입니다. 최근 Outsider로 명명된 랜섬웨어가 새롭게 등장해 사용자의 각별한 주의가 필요합니다. Outsider 랜섬웨어는 확장자에 관계없이 모든 파일을 암호화하고 특정 확장자에 따라 암호화 방식을 달리합니다. 또한, 사용자 시스템뿐만 아니라 사용자시스템과 연결된 네트워크 드라이브까지 검사해 감염시키는 것이 특징입니다. 공격자는 파일 복호화 대가로 $900의 비트코인을 요구하며 금전적인 이득을 노립니다. 따라서, 본 보고서에서는 Outsider 랜섬웨어의 행위와 특징에 대해서 알아보고자 합니다. 악성코드 상세 분석 Outsider랜섬웨어는 사용자의 시스템 언어를 확인하여 암호화 여부를 결정합니다. 다음과 같은 언어를 사용 중일 경우에는 암호화를 진행하지 않으며, 이 외의 언어..

악성코드 분석 리포트 2019. 1. 24. 15:44

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 갠드크랩(GandCrab) 랜섬웨어를 유포하던 조직이 기존과 유사한 방식으로 구직시즌에 맞춰 입사지원서 등을 위장하여 갠드크랩(GandCrab) 랜섬웨어 v5.1을 새롭게 유포하는 정황이 포착되어 사용자들의 주의가 필요합니다. 해당 이력서에 첨부된 압축파일을 풀어보면, 압축파일 내에는 다음과 같은 파일들이 포함되어 있습니다. (메일 첨부파일마다 조금씩 상이할 수 있습니다.) 첨부파일을 열어본 사용자가 지원서.doc.lnk파일을 클릭하는 경우 jpeg로 위장한 악성코드(.exe)가 실행되면서 갠드크랩(GandCrab) 랜섬웨어가 동작하게 되며 사용자를 속이기 위해 함께 첨부된 정상 doc파일을 실행해서 화면에 보여주게 됩니다. 정상 doc파일이 ..

악성코드 분석 리포트 2019. 1. 21. 14:35

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 갠드크랩 랜섬웨어가 또 다시 유포되고 있어 사용자들의 각별한 주의가 필요합니다. ※ 관련글보기 ▶ 2018 연말정산 시즌 비너스락커 유포 조직 활동중!▶ 또 다시 등장한 비너스락커 위협조직, 2018 연말정산 시즌 겨냥!▶ 비너스락커 조직 ‘바로가기’ 파일(LNK) 변경하여 유포 중인 갠드크랩 랜섬웨어 주의▶ 이미지를 드롭하는 갠드크랩(GandCrab) 5.0.4 발견! 이번 악성메일은 명함제작 이메일을 위장하고 있습니다. [그림 1] 수신된 메일 첨부 파일 ‘문의사항.alz’ 에는 아래와 같이 3개의 파일이 있습니다. [그림 2] 첨부파일 '문의사항.alz' 압축파일에 첨부되어 있는 doc 파일은 정상 파일이며, jpg 파일은 이미지 파일을 ..

악성코드 분석 리포트 2019. 1. 17. 08:32

안녕하세요? 이스트시큐리티입니다. 2018년 4분기 알약을 통해, 총 33만2179건의 랜섬웨어 공격이 차단된 것으로 확인되었습니다. 이번 통계는 공개용 알약의 ‘랜섬웨어 행위기반 사전 차단 기능’을 통해 차단된 공격수를 기준으로 집계되었으며, 통계에 따르면 2018년 4분기에는 알약을 통해 랜섬웨어 공격이 총 33만 2179건 차단되었으며, 이를 일간 기준으로 환산하면 일평균 약 3,691건의 랜섬웨어 공격이 차단된 것으로 확인되었습니다. 이는 일반 사용자를 대상으로 제공하는 공개용 알약의 랜섬웨어 행위기반 차단 기능을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 공격까지 포함하면 전체 공격수는 더욱 많다고 볼 수 있겠습니다. 이번 4분기 역시 갠드크랩(GandCrab) 랜섬웨어가 업데이트를 거듭하..

전문가 기고 2019. 1. 14. 11:00

PyLocky Ransomware Decryption Tool Released — Unlock Files For Free Cisco Talos의 보안 연구원인 Mike Bautista가 PyLocky 랜섬웨어에 감염 된 피해자들이 랜섬 머니를 지불하지 않고도 암호화 된 파일을 무료로 복호화할 수 있는 무료 복호화 툴을 공개했습니다. 이 복호화 툴은 누구나 사용할 수 있지만, 매우 큰 제약이 있습니다. 파일을 성공적으로 복구해내기 위해서는 PyLocky 랜섬웨어와 C&C 서버간의 초기 네트워크 트래픽(PCAP 파일)이 필요한데, 보통 아무도 의도적으로 하지 않는 일이기 때문입니다. 랜섬웨어가 C&C 서버와 통신하고 복호화 키 관련 정보를 제출할 때의 아웃 바운드 연결이 초기화 벡터 (IV – Initial..

국내외 보안동향 2019. 1. 14. 08:34

Did Aurora Ransomware infect you? You can decrypt file for free Aurora 랜섬웨어의 피해자들이 데이터를 무료로 복호화할 수 있는 툴이 개발 되었습니다. 윈도우 악성코드인 Aurora 랜섬웨어는 많은 변종들이 있지만, 피해자 대부분은 암호화 된 파일에 .Nano 확장자를 사용하는 버전에 감염 되었습니다. 공격자들은 원격 데스크탑 서비스를 통해 시스템을 감염시킵니다. 파일이 암호화 되면, 이 랜섬웨어는 윈도우 바탕화면과 다양한 폴더에 랜섬노트를 생성합니다. 보안 연구원인 Michael Gillespie는 이 랜섬웨어에 암호화 된 파일들을 복호화할 수 있는 툴을 개발해 공개했습니다. 이 복호화 툴은 암호화 된 파일에 아래 확장명을 붙이는 버전을 지원합니다:..

국내외 보안동향 2019. 1. 7. 10:37

JungleSec Ransomware Infects Victims Through IPMI Remote Consoles JungleSec이라는 랜섬웨어가 11월 초부터 안전하지 않은 IPMI (Intelligent Platform Management Interface)카드를 통해 피해자들을 감염시키고 있는 것으로 나타났습니다. 11월 초에 발생한 피해자들은 윈도우, 리눅스, 맥을 사용하고 있었지만 이들이 어떻게 감염 되었는지는 알 수 없었습니다. 이후 랜섬웨어 피해자들을 조사해본 결과, 한가지 동일한 점이 발견 되었습니다. 이들은 안전하지 않은 IPMI기기를 통해 감염 된 것입니다. IPMI는 서버 마더보드에 내장 되거나 애드온 카드로써 설치 되는 관리 인터페이스로 관리자들이 원격으로 컴퓨터를 제어하고, ..

국내외 보안동향 2019. 1. 2. 08:31