안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 공정거래위원회를 사칭한 악성 메일로 GandCrab 랜섬웨어가 유포되고 있어 이용자들의 주의를 당부드립니다. 이번에 발견된 공정거래위원회 사칭 악성메일은 '전자상거래에 대한 위반행위 관련 조사통지서' 내용을 담고 있습니다. 또한 메일 본문 하단에 '붙임. 전산 및 비전산 자료 보존요청서 1부' 내용으로 첨부 파일 확인을 유도합니다. [그림 1] '전자상거래 위반행위 관련 조사통지서'로 위장한 악성 메일 실제 첨부파일 '전자상거래 위반행위 통지서.egg'에는 2개의 바로가기 파일 '1.전자상거래 위반행위 통지서.doc.lnk', '2.전산 및 비전산 자료 보존요청서.doc.lnk'과 GandCrab 랜섬웨어인 'uandsk.exe'가 있습니..

악성코드 분석 리포트 2018. 8. 17. 14:25

Princess Evolution Ransomware is a RaaS With a Slick Payment Site Princess Locker 랜섬웨어의 새로운 변종이 Princess Evolution이라는 이름으로 배포 되고 있습니다. 이전 버전과 마찬가지로, Princess Evolution은 서비스형 랜섬웨어(RaaS)이며 언더그라운드 범죄 포럼들에서 광고 되고 있습니다. 이 랜섬웨어가 여러 협력사를 통해 배포 되고 있기 때문에, 수 많은 배포 방식을 사용하고 있습니다. 이 랜섬웨어를 배포하는 방식 중 하나는 RIG 익스플로잇 키트로 밝혀졌습니다. 안타깝게도, 현재로써는 Princess Evolution으로 암호화 된 파일을 복호화 할 수 있는 방법은 없습니다. Princess Evolution..

국내외 보안동향 2018. 8. 16. 17:44

New Cmb Dharma Ransomware Variant Released 지난 목요일, Dharma 랜섬웨어의 새로운 변종이 발견 되었습니다. 이는 암호화 된 파일에 .cmb 확장자를 붙입니다. Dharma 랜섬웨어의 Cmb 변종은 연구원인 Michael Gillespie가 ID 랜섬웨어에 업로드 된 샘플을 확인해 발견 되었습니다. 불행히도 현재 Dharma Cmb 랜섬웨어에 감염 된 파일을 무료로 복호화 하는 방법은 없습니다. 원격 데스크탑 서비스를 통해 유포 돼 Cmb 변종을 포함한 Dharma 패밀리는 원격 데스크탑 프로토콜 서비스(RDP)를 통해 컴퓨터를 해킹하여 수동으로 설치 됩니다. 공격자들은 인터넷에서 보통 TCP 포트 3389에서 실행 되는 RDP를 탐색 후 컴퓨터의 패스워드를 알아내기..

국내외 보안동향 2018. 8. 13. 16:29

The PGA Possibly Infected With the BitPaymer Ransomware 랜섬웨어가 미국의 기업, 정부 기관, 병원을 공격한데 이어 이제는 골프 분야까지 공격하고 있습니다. GolfWeek에 따르면, PGA 미국 오피스의 컴퓨터들이 랜섬웨어에 감염 되었습니다. 피해자들은 지난 화요일 랜섬 노트가 스크린에 뜨기 시작했을 때 감염 사실을 발견했습니다. "Your network has been penetrated,""All files on each host in the network have been encrypted with a strong algorithm.” “algorithm”을 잘못 스펠링한 것으로 보아, PGA 아메리카는 BitPaymer 랜섬웨어에 감염 된 것으로 추측 ..

국내외 보안동향 2018. 8. 10. 16:38

TSMC Chip Maker confirms its facilities were infected with WannaCry ransomware 8월 초, 애플의 기기를 생산하는 TSMC 공장에서 악성코드 감염이 일어났습니다. 이들은 애플, 퀄콤을 포함한 거대 기업들의 칩을 생산하는 세계 최대 칩 생산 업체입니다. TSMC는 공격에 대한 추가적인 세부 정보를 공개했으며, 시스템이 악명 높은 WannaCry 랜섬웨어에 감염 되었다고 밝혔습니다. 이 감염으로 인해 애플의 새 아이폰을 위한 칩 생산에 TSMC는 큰 타격을 입게 되었습니다. 영향을 받은 공장들 중 일부는 하루 종일 가동을 중단하기도 했습니다. TSMC의 매출에 미치는 전반적인 영향은 약 2.56억 달러일 것으로 추정 됩니다. 또한 TSMC는 이 공..

국내외 보안동향 2018. 8. 8. 16:09

GandCrab Ransomware Author Bitter After Security Vendor Releases Vaccine App GandCrab 랜섬웨어의 제작자가 이 랜섬웨어에 대한 백신을 공개한 한국 보안 회사인 안랩에 보복을 시도한 것으로 보입니다. GandCrab의 제작자는 Bleeping Computer측에 연락해 GandCrab의 다음 버전은 안랩 v3 라이트 안티바이러스의 제로데이를 포함할 것이라 밝혔습니다. 백신 프로그램에 대한 GandCrab의 보복 “Crabs”라는 예명을 사용한 GandCrab의 제작자는 지난 7월 19일 안랩이 GandCrab 랜섬웨어에 대한 백신 프로그램을 공개한 것에 대한 보복으로 안랩의 익스플로잇을 호스팅 하는 파일 스토리지 서비스로의 링크를 공개했습니..

국내외 보안동향 2018. 8. 6. 14:55

8월 3일, 대만의 신주과학단지·타이중과학단지·타이난과학단지에 있는 TSMC 공장이 랜섬웨어에 감염되어 운행을 중단했습니다. TSMC는 전 세계에서 가장 큰 반도체 생산공장으로, 항상 해커들의 공격 타겟이 되어 매년 사이버 공격을 받았습니다. 하지만 이렇게 대규모 공격을 받은 것은 이번이 처음입니다. 생산 설비들은 인터넷에 연결되어있지 않았기 때문에 TSMC가 어떻게 랜섬웨어에 감염되었는지 아직 밝혀지지 않았습니다. 이번 사건과 관련하여 TSMC는 8월 4일, 공식 입장을 발표하였습니다. TSMC는 8월 3일 저녁, 일부 기기에서 랜섬웨어의 감염을 확인하였다. 외부에 알려진 것처럼 해커의 공격은 아니며, 현재 TSMC는 랜섬웨어에 감염된 범위를 확인하는 동시에 해결 방안을 모색중에 있다. 랜섬웨어 감염 ..

국내외 보안동향 2018. 8. 6. 11:39

SamSam Ransomware Crew Made Nearly $6 Million From Ransom Payments SamSam 랜섬웨어의 제작자들이 2015년 말부터 지금까지 $590만 이상을 벌어들인 것으로 나타났습니다. 보안 회사인 Sophos가 발행한 47페이지의 보고서는 연구원들이 과거 공격들, 희생자와의 인터뷰 등으로부터 수집한 데이터들 및 어디선가 유출 된 SamSam 샘플의 공개/개인 소스들을 바탕으로 작성 되었습니다. 또한 연구원들은 블록체인 및 가상화폐 모니터링 회사인 Neutrino와 협업해 SamSam 운영자들이 사용한 여러 비트코인 주소들 사이의 송금 및 관계를 추적했습니다. 233명의 피해자, 랜섬머니 지불 해 연구원들이 찾을 수 있었던 모든 비트코인 주소를 추적한 결과, S..

국내외 보안동향 2018. 8. 1. 13:40