Cerber Ransomware Evolves Again, Now Steals From Bitcoin Wallets Cerber 랜섬웨어는 가장 빠르게 진화하는 랜섬웨어 패밀리들 중 하나입니다. 최근 Cerber 랜섬웨어는 가상화폐를 훔치는 루틴을 추가한 형태로 진화하였으며, 이로서 공격자들은 일석 이조의 효과를 누리게 되었습니다. 하지만 Cerber의 일부분은 변경되지 않았으며, 여전히 이메일 첨부파일을 통해 유포되고 있습니다. Cerber랜섬웨어는 3개(Bitcoin Core 지갑, Electrum, Multibit)의 가상화폐 지갑 파일을 노립니다. 아래의 파일들을 훔치는 방식으로 작업을 수행합니다. wallet.dat (Bitcoin)*.wallet (Multibit)electrum.dat (El..

국내외 보안동향 2017. 8. 8. 15:55

WannaCry Inspires Banking Trojan to Add Self-Spreading Ability 보안연구원들은 최근 랜섬웨어를 전 세계로 효과적으로 유포하기 위하여, 뱅킹 트로이목마에 웜과 유사한 기능 추가를 시도중인 사이버 범죄자 그룹을 발견하였습니다. “1000029” (v24)로 알려진 크리덴셜을 훔치는 TrickBot 뱅킹 악성코드의 새로운 변종이, WannaCry와 Petya 랜섬웨어가 악용한 Windows Server Message Block(SMB)를 사용하는 것으로 나타났습니다. TrickBot은 작년부터 전 세계의 금융 기관들을 노린 뱅킹 악성코드입니다. (▶자세히 보기) 이 트로이목마는 보통 이름 없는 “국제 금융 기관”의 인보이스로 위장한 이메일 첨부파일을 통해 확산됩..

국내외 보안동향 2017. 8. 3. 15:03

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. GlobeImposter 랜섬웨어 변종 중 유효한 디지털 서명을 탑재한 형태가 해외에서 등장하고 있어 이용자분들의 각별한 주의가 요망됩니다. 잘 아시는 분들도 계시겠지만, 일반적으로 특정 파일에 유효한 디지털 서명이 탑재되어 있다는 것은 무결성이 보장된다는 의미와 함께 정상적인 파일(화이트 리스트)임을 증명하는 용도로 활용되기도 합니다. 그러다보니 일부 악의적인 해커들은 정상적인 디지털 서명 데이터를 무단 탈취하여 악성프로그램 제작에 악용되는 경우가 종종 발생하기도 합니다. 그런 와중에 2017년 7월 29일과 31일에 제작된 GlobeImposter 랜섬웨어 변종 2개에서 각각 다르지만 유효한 디지털 서명이 탑재된 것이 발견되었습니다. [그..

악성코드 분석 리포트 2017. 8. 1. 11:03

You need to pay for us, otherwise we will sell portion of your personal information on black market every 30 minutes. WE GIVE 100% GUARANTEE THAT ALL FILES WILL RESTORE AFTER WE RECEIVE PAYMENT. WE WILL UNLOCK THE MOBILE DEVICE AND DELETE ALL YOUR DATA FROM OUR SERVER! TURNING OFF YOUR PHONE IS MEANINGLESS, ALL YOUR DATA IS ALREADY STORED ON OUR SERVERS! WE STILL CAN SELLING IT FOR SPAM, FAKE, B..

전문가 기고 2017. 7. 31. 14:14

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 해외에서 일명 '이스라바이(israbye)'라는 새로운 유형의 랜섬웨어가 등장했습니다. 현 시점까지 국내 유입 및 피해사례가 공식보고 되진 않았지만, 관련 내용을 숙지하시어 사전에 대비하시길 당부드립니다. 이 랜섬웨어는 2017년 07월 24일 닷넷 기반 프로그래밍으로 제작되었으며, 파일속성에 다음과 같은 정보를 보유하고 있습니다. 제작자가 지정한 원본 파일 이름은 'israbye.exe' 입니다. 이 파일명은 '이스라엘 바이' 라는 의미로 해석되고 있습니다. [그림 1] israbye 랜섬웨어 파일 속성 정보 파일 내부에는 제작자로 추정할 수 있는 아티팩트가 포함되어 있는데, 'Ahmed' 라는 컴퓨터 계정을 사용하고 있음을 알 수 있습니다..

악성코드 분석 리포트 2017. 7. 31. 11:14

ESTsecurity 랜섬웨어 대응 글로벌 프로젝트 동참, No More Ransom! 안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 지난 4월 경 인터폴의 파트너 가입 추천으로 시작된 이후, 약 3개월간의 준비과정을 거쳐 마침내 이스트시큐리티가 07월 25일 국내 보안업체 중 처음으로 '노 모어 랜섬(No More Ransom/NMR)' 프로젝트의 파트너로 정식 가입되었습니다! '노 모어 랜섬' 프로젝트는 세계 각국 사법기관과 민간 보안기업 등이 파트너로 참여하는 글로벌 랜섬웨어 피해 예방 프로젝트로 지난 해 7월 네덜란드 경찰, 유로폴(사이버범죄 센터), 카스퍼스키랩, 맥아피 등의 참여로 출범했습니다. 현재 한국의 경찰청(사이버안전국)과 인터폴을 비롯해 한국인터넷진흥원(KISA), 일본..

이스트시큐리티 소식 2017. 7. 26. 09:24

Source Code For SLocker Android Ransomware That Mimics WannaCry Leaked Online 얼마 전, WannaCry 모방 랜섬웨어로 소개해 드렸던 안드로이드 랜섬웨어들 중 하나인 SLocker 랜섬웨어의 소스코드가 온라인에 유출되었습니다. (▶ 워너크라이 랜섬웨어 화면으로 위장한 모바일 랜섬웨어 등장 자세히 보기) 이로서 공개된 랜섬웨어의 소스코드를 이용하여, 사이버 범죄자들은 더욱 고성능의 안드로이드 랜섬웨어를 개발해 낼 수 있게 되었습니다. 이번에 공개된 SLocker 랜섬웨어의 소스코드는 'fs0c1ety'라는 닉네임을 사용하는 사용자가 공개했으며, 이 사용자는 모든 GitHub 사용자들에게 이 코드에 기여하고 버그 리포트를 제출하라고 요구하고 있습..

국내외 보안동향 2017. 7. 25. 15:38

안녕하세요. 이스트시큐리티입니다. 한국인이 제작한 것으로 추정되는 '직소 랜섬웨어 변종'이 악성파일이 발견되어, 주의가 필요합니다. ▲ 한글로 작성된 안내문 직소 랜섬웨어는 전 세계적으로 잘 알려진 공포 영화 ‘쏘우(Saw)’에 등장했던 광대 마스크 ‘빌리 더 퍼펫’ 이미지를 보여주고, 일정 시간이 지날 때마다 암호화된 일부 파일을 삭제해 사용자가 비트코인을 지불하도록 공포감을 조성하는 특징을 가지고 있습니다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)가 발견한 이번 랜섬웨어 변종은 광대 마스크 이미지 노출을 제외한 대부분의 특성이 기존 직소 랜섬웨어와 흡사한 것으로 나타났습니다. ESRC에 따르면 이번 랜섬웨어에 감염되면 영화 쏘우의 범인이 TV를 통해 문장을 보여주며 인질을 협박했던 장면과 유사하..

이스트시큐리티 소식 2017. 7. 20. 13:51