Ukrainian researcher leaked the source code of Conti Ransomware 최근 한 우크라이나 연구원이 Conti 랜섬웨어 작업과 관련된 내부 채팅 메시지 60,694건을 유출시켰습니다. 그는 Conti 그룹의 데이터베이스 XMPP 채팅 서버에 접근이 가능했던 것으로 나타났습니다. Conti 랜섬웨어는 우크라이나를 공격하는 러시아 정부를 지지한다는 공지를 게시한 적이 있습니다. 따라서 Conti랜섬웨어에 대한 공격 및 데이터 유출은 러시아를 지원하는 운영진에 대한 보복으로 보입니다. 하지만 Conti의 파트너 중 다수가 우크라이나 그룹이라는 점을 고려할 때, 해당 공격은 그룹의 운영에 상당한 영향을 미칠 것입니다. 데이터를 유출한 연구원은 더 많은 데이터 덤프를 공..

국내외 보안동향 2022. 3. 3. 14:00

Chipmaker giant Nvidia hit by a ransomware attack 칩 제조 대기업인 Nvidia가 랜섬웨어 공격을 받아 지난 며칠 동안 일부 시스템이 영향을 받았습니다. 이 사건과 관련된 한 관계자는 해당 사고에 대해 현재 진행 중인 우크라이나 전쟁과 관련이 없다고 밝혔습니다. 이 사고로 인해 회사의 개발자 툴 및 이메일 시스템 또한 영향을 받았지만, 비즈니스 및 상업 활동에는 아무런 영향이 없었습니다. Nvidia는 성명을 발표해 아래와 같이 밝혔습니다. “당사의 비즈니스 및 상업 활동은 중단 없이 계속되고 있습니다.” “해당 사고의 성격 및 범위를 평가하기 위해 노력하고 있으며, 아직까지는 추가 정보를 공유할 수 없습니다.” 회사는 사고의 범위를 확인하기 위해 사건을 조사하고 ..

국내외 보안동향 2022. 2. 28. 14:00

Microsoft Exchange servers hacked to deploy Cuba ransomware Cuba 랜섬웨어가 마이크로소프트 익스체인지의 취약점을 악용하여 기업 네트워크에 대한 초기 액세스 권한을 얻어 기기를 암호화하는 것으로 나타났습니다. 사이버 보안 회사인 Mandiant는 해당 랜섬웨어 그룹 UNC2596으로, 랜섬웨어 악성코드를 COLDDRAW라 명명했습니다. 하지만 해당 랜섬웨어는 ‘Cuba’라는 이름으로 더 잘 알려져 있습니다. Cuba는 2019년 말 활동을 시작한 랜섬웨어로, 시작은 느리지만 2020년과 2021년에 속도를 올리기 시작했습니다. 활동이 증가한 이후 FBI는 2021년 12월 Cuba 랜섬웨어가 미국의 핵심 인프라 49곳에 침입했다고 주의보를 발행했습니다. M..

국내외 보안동향 2022. 2. 25. 14:00

DeadBolt ransomware now targets ASUSTOR devices, asks 50 BTC for master key DeadBolt 랜섬웨어가 ASUSTOR NAS 기기를 노려 파일을 암호화하고 랜섬머니로 1,150 달러 상당의 비트코인을 요구하고 있는 것으로 나타났습니다. 이 공격 웨이브는 Reddit과 BleepingComputer포럼에 처음으로 제보되었으며, 이후 ASUSTOR 포럼에도 제보되었습니다. DeadBolt 랜섬웨어가 지난 달 다른 NAS 기기를 노린 것과 유사하게, 공격자들은 제로데이 취약점을 사용하여 ASUSTOR NAS 기기를 암호화한다고 주장합니다. 해당 랜섬웨어는 ASUSTOR 기기의 파일을 암호화한 후 파일 이름에 .deadbolt 확장자를 붙입니다. ASU..

국내외 보안동향 2022. 2. 24. 09:00

Expeditors shuts down global operations after likely ransomware attack 시애틀에 기반을 둔 물류 및 화물 운송 회사인 Expeditors International이 주말 동안 사이버 공격을 받아 전 세계 지점 대부분의 운영을 중단한 것으로 나타났습니다. 연간 총 수익이 약 100억 달러인 Expeditors는 전 세계에 지점 350곳과 직원 18,000명 이상이 있으며, 고객에게 중요한 물류 솔루션을 제공합니다. 해당 서비스에는 공급망, 창고 및 유통, 운송, 세관, 규정 준수가 포함됩니다. 이 회사는 어떤 사이버 공격을 받았는지는 언급하지 않았지만, 회사의 설명 및 BleepingComputer에서 받은 익명 제보를 종합한 결과 대규모 랜섬웨어 사..

국내외 보안동향 2022. 2. 22. 14:00

Trickbot operation is now controlled by Conti ransomware AdvIntel에 따르면, TrickBot의 핵심 멤버 몇 명이 Conti 랜섬웨어 그룹으로 이동한 것으로 나타났습니다. 그리고 Conti 랜섬웨어는 이 인기있는 TrickBot을 더욱 은밀히 활동하는 BAzarBackdoor로 대체할 계획인 것으로 알려졌습니다. TrickBot은 2016년 10월부터 활동을 시작한 유명한 윈도우용 뱅킹 트로이 목마로, 제작자는 강력한 패스워드 탈취 기능을 포함한 여러 새로운 기능을 구현해 지속적으로 업그레이드했습니다. TrickBot은 초기에는 Ryuk 랜섬웨어와 협력해 봇넷으로 해킹된 네트워크에 초기 접근하는데 사용되었습니다. 이후 Ryuk은 같은 목적으로 Trick..

국내외 보안동향 2022. 2. 21. 14:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 지난 2017년 Cerber 랜섬웨어의 후속작으로 등장한 매그니베르(Magniber) 랜섬웨어는 다양한 변종으로 유포해 오고 있다. 초기에는 한국 사용자만 감염되었지만 이후, 대상 범위를 확장해 중국, 대만, 홍콩, 싱가포르, 말레이시아 내 시스템 또한 감염시키기 시작했습니다. 과거 매그니베르 랜섬웨어는 파일리스(fileless) 형태, PrintNightmare 취약점, 인터넷 익스플로러 취약점을 악용하여 시스템을 침해하고 랜섬웨어를 배포해 왔습니다. 최근 매그니베르 랜섬웨어는 기존 인터넷 익스플로러 감염 방식과 다른 감염 방식으로Edge, Chrome 브라우저를 이용하여 윈도우 앱(.Appx) 파일 설치를 유도를 통해 유포되고 있습니다..

악성코드 분석 리포트 2022. 2. 17. 09:00

BlackCat (ALPHV) claims Swissport ransomware attack, leaks data BlackCat 랜섬웨어 그룹(ALPHV)이 최근 발생한 Swissport 공격이 자신들의 작업이었다고 주장했습니다. 해당 사이버 공격으로 인해 항공편이 지연되고 서비스가 일시적으로 중단되었습니다. 30억 유로의 수익을 내는 회사인 Swissport는 50개국의 공항 310곳에 지사를 두고 있으며 화물 처리, 유지 관리, 청소, 라운지 환대 서비스를 제공합니다. BleepingComputer는 BlackCat이 최근 랜섬웨어 공격에서 얻은 것으로 추정되는 데이터를 유출하는 것을 관찰했습니다. BlackCat, 데이터 유출하기 시작해 Swissport는 이전에 자사 시스템이 랜섬웨어 공격을 받..

국내외 보안동향 2022. 2. 16. 09:00