안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 한국식 표현이 포함된 ‘카카오톡 위장 랜섬웨어 변종’이 발견되어 주의가 필요합니다. [그림 1] 2018년 변종 KOREAN 랜섬웨어 새롭게 발견된 카카오톡 위장 랜섬웨어는 지난 2016년 8월 20일경 발견된 KOREAN 랜섬웨어와 비교했을 때 폰트, 이미지 등을 제외한 대부분의 특성이 흡사한 것으로 나타났습니다. [그림 2] 2016년 발견된 KOREAN 랜섬웨어] Hidden-Tear 오픈 소스 기반으로 제작된 이 랜섬웨어는 바탕 화면 경로에 있는 파일들 중 아래에 해당하는 확장자만 AES 알고리즘을 이용하여 “[기존파일명][기존확장자명].암호화됨” 으로 암호화를 진행한 뒤 1 비트코인을 요구 합니다. (한화 13,500,000 원) ”..

악성코드 분석 리포트 2018. 1. 23. 11:01

2년전 처음 발견된 SamSam랜섬웨어는 RDP를 이용하여 유포됩니다. SamSam은 네트워크 스캔을 통하여 RDP 서비스가 활성화 되어있는 PC를 찾고, 무작위 공격으로 RDP에 접근하여 악성코드를 유포합니다. 인디아나주 그린필드의 Hancock Health 병원은 1월 11일 목요일 이 랜섬웨어에 감염되었습니다. 이 SamSam 랜섬웨어는 파일을 감염시킨 후 파일 확장자를 "I'm sorry"로 변경합니다. 병원 관계자들은 랜섬웨어가 더 유포되는것을 막기 위해 모든 컴퓨터를 종료했으며, 랜섬웨어 사태가 해결될때까지 컴퓨터를 키지 말라는 안내문을 붙였습니다. 이 병원은 백업파일을 갖고있지만,백업된 파일들을 복원하는데에는 몇일의 시간이 소요될 것으로 예상했으며, 좀 더 빠른 병원의 정상화를 위해 해커에게..

국내외 보안동향 2018. 1. 19. 13:28

안녕하세요? 이스트시큐리티입니다. 주요 보안위협으로 꼽히는 랜섬웨어는 다양한 감염 방식으로 유포되며, 신·변종 역시 끊임없이 나타나 사용자의 각별한 주의가 필요합니다. 그래서! 열 살 알약 이벤트 9탄에서는 꼭 알아둬야할 랜섬웨어 예방 수칙을 확인하고 친구에게 공유하는 '랜섬웨어 예방 수칙 공유 이벤트'를 준비했습니다. 지금 바로 아래 내용을 확인하여 더 안전한 PC 생활과 열 살 알약이 준비한 선물까지 가져보세요! 참여 방법아래 링크를 클릭하여 이벤트 포스팅을 확인하고, 랜섬웨어 예방 수칙을 친구에게 알려주세요.▶ 확인하기(클릭) * 자세한 응모 방법은 위 링크로 연결되는 포스팅 내용을 참고해 주세요. 응모 기간 및 당첨자 발표일2018년 1월 16일(화) ~ 2018년 1월 22일(월) 23시 59분..

이스트시큐리티 소식/이벤트 2018. 1. 16. 09:40

안녕하세요? 2017년은 각종 사이버 보안 위협과 신,변종 랜섬웨어, 악성코드의 공격이 증가한 해였다면 2018년의 보안이슈는 어떨까요? 이스트시큐리티 시큐리대응센터(ESRC)는 곧 다가올 2018년에 주의해야 할 예상 보안이슈 Top 5를 선정하였습니다. 1. 암호화 화폐 관련 침해사고 증가최근 글로벌 사이버 환경에서는 암호화(가상) 화폐가 가장 큰 이슈 중 하나이며, 2018년에는 이와 관련한 침해사고가 급증할 것으로 예상됩니다. 이미 2017년 하반기부터 관련 침해사고가 본격적으로 발생하기 시작했고, 내년에는 공격자들에 의해 더욱 적극적인 암호화 화폐 관련 공격이 시도될 것으로 보입니다. 암호화 화폐에 적용된 블록체인 기술 자체는 해킹이 거의 불가능하기 때문에, 공격자들은 암호화 화폐를 거래하는 개..

전문가 기고 2017. 12. 26. 16:33

안녕하세요. 이스트시큐리티입니다. 작년 7월 4일 사용자의 마스터 부트 레코드(MBR)를 암호화 하여 PC 실행을 막는 Satana 랜섬웨어가 처음 등장하였습니다. 이는 MBR을 망가뜨리는 Petya 랜섬웨어와 클래식 랜섬웨어를 결합한 새로운 형태의 랜섬웨어였습니다. 그러나 모든 파일은 동일 특정 키로 암호화 된다거나, 디버그 스트링을 남기는 등 결점을 포함하고 있어 개발 초기 단계의 버전으로 보였습니다. (참고▶http://blog.alyac.co.kr/691) 그러나 올해 등장한 Satana 랜섬웨어는 Ransomware as a Service(RaaS) 형태로 진화했으며 다양한 안티 디버깅 기법과 프로세스 인젝션 등 클래식 랜섬웨어 기능에 분석을 어렵게 하기 위한 다양한 기법들을 포함하고 있습니다...

악성코드 분석 리포트 2017. 12. 21. 13:00

2017년은 각종 사이버 보안 위협과 신,변종 랜섬웨어, 악성코드의 공격이 증가(Risen)한 해였습니다. 이스트시큐리티 시큐리티대응센터(ESRC)는 올해 되돌아 봐야 할 보안이슈 Top 5로 RISEN을 선정하였습니다. 1) 끊임없이 진화하는 랜섬웨어 : Ransomwares prevailing 랜섬웨어가 해커들에게 많은 돈을 벌어다 주는 주요 수익원으로 자리잡은 지 벌써 몇 년이 흘렀지만, 2017년에도 랜섬웨어의 위협은 여전히 사이버 범죄에서 큰 비중을 차지했습니다. 특히 그동안 랜섬웨어의 공격대상이 불특정 다수였다면, 그 대상이 점차 특정 기업/기관으로 변해가고 있는 추세입니다. 그 이유는 개인에 비해 기업/기관이 랜섬웨어에 감염되어 중요 파일이 암호화 되면 그 피해가 막대하기 때문에, 랜섬 비용..

전문가 기고 2017. 11. 24. 10:15

안녕하세요. 이스트시큐리티입니다. 한국을 집중 공격하는 신종 랜섬웨어 ‘Trojan.Ransom.MyRansom’(이하 마이랜섬 랜섬웨어)가 등장하였습니다. 케르베르(Cerber) 랜섬웨어의 변형으로 매그니튜드 익스플로잇 킷을 통해 광고 사이트에 악성코드를 심어 유포하는 멀버타이징 방식을 사용합니다. 두 단어를 합쳐 매그니베르(Magniber) 라고도 불립니다. 한국어 윈도우 운영체제 환경에서만 파일 암호화를 진행하는 특징이 있으며 암호화되는 파일의 확장자는 ‘hwp’ 문서를 비롯해 800개 이상입니다. 본 분석 보고서에서는 MyRansom 랜섬웨어를 상세 분석 하고자 합니다. 악성코드 상세 분석 40a5312f203f48759cbc1c08f91c499a 분석 1) 시스템 언어 확인시스템 언어 환경이 한..

악성코드 분석 리포트 2017. 11. 24. 09:00

LockCrypt Ransomware Crew Started via Satan RaaS, Now Deploying Their Own Strain 올 6월부터, 한 사이버 범죄 그룹이 RDP 브루트포싱 공격을 통해 보호되지 않은 기업 서버들에 침투해 수동으로 LockCrypt 랜섬웨어를 설치하고 있는 것으로 나타났습니다. 보안 연구원들에 따르면, 이 공격자들은 미국, 영국, 남아프리카, 인도, 필리핀 등에 위치한 기업들을 공격했습니다. LockCrypt 갱, RDP 브루트 포싱 공격 이용해 LockCrypt 갱은 보통 하나의 서버로 침투해 가능한 많은 장비로 퍼지며, 각각의 시스템에서 수동으로 LockCrypt 랜섬웨어를 실행합니다. LockCrypt에 감염 되면 아래와 같은 이미지 및 랜섬 노트가 표시 ..

국내외 보안동향 2017. 11. 14. 13:41