ホンダが工場など複数拠点でWannaCry感染、一部の生産に影響 2017년 6월 18일 저녁, 세계 여러곳의 혼다가 랜섬웨어 'WanaCry'에 감염되었습니다. 혼다는 이미 랜섬웨어 감염에 대한 대응조치를 취하고 있지만, 일부 생산라인에 영향이 있는 것으로 확인되었습니다. 감염된 기기들은 공장 설비라인에 설치되어 있는 PC로, 생산라인 관리 등에 사용하는 것입니다. 구체적인 감염지역이나 감염대수는 밝혀지지 않고 있으며, 감염된 PC들은 감염 즉시 네트워크 분리가 이루어 진것으로 밝혀졌습니다. 각 공장에서는 보안향상을 위해 WannaCry 랜섬웨어에 대한 공지를 하고 있었기 때문에 빠른 초동대응이 가능하였고, 랜섬웨어의 협박 화면은 나오지 않은 것으로 확인되었습니다. WannaCry랜섬웨어는 Windows의 취..

국내외 보안동향 2017. 6. 22. 17:12

최근 새로운 형태의 파일리스 랜섬웨어인 Sorebrect가 발견되었습니다. 이 랜섬웨어는 악성코드를 타겟 시스템의 정상적인 svchost.exe에 인젝션 시킨 후 백신을 우회합니다. 전통적인 랜섬웨어와 다른것은, Sorebrect는 주로 기업의 서버와 클라이언트를 타겟으로 합니다. 또한 이 랜섬웨어는 동시에 로컬 및 네트워크 공유문서들을 암호화 시킵니다. 이 파일리스 랜섬웨어는 우선 관리자 계정을 무력화 시킨 후, MS의 Sysinternals PsExec의 명령어를 이용하여 파일을 암호화 시킵니다. 공격자가 RDP를 이용하여 디바이스에 Sorebreck 랜섬웨어를 감염시킬 수도 있지만, RDP와 비교하였을 때 PsExec는 더 간편합니다. PsExec는 공격자로 하여금 원격에서 명령어를 실행하고, 대화..

국내외 보안동향 2017. 6. 21. 12:58

안녕하세요. 이스트시큐리티입니다.지난 주말(6/10) 특정 웹호스팅 업체에서 운영중인 리눅스 서버가 랜섬웨어에 감염되었습니다. 이에 해당 웹호스팅 서비스를 사용하는 많은 사이트들이 랜섬노트를 띄우거나 정상적으로 사이트를 이용할 수 없는 사태가 발생했습니다. ※ 관련 글 - 국내 특정 웹호스팅 서비스를 사용하는 사이트를 공격한 Erebus 랜섬웨어 (▶바로가기) 공격을 받은 웹호스팅 업체에서 언급한 바에 따르면 서버에 저장된 원본파일과 백업파일이 모두 암호화된 상황으로 보이며, 이는 몇 년전에 최초 발견된 랜섬웹 케이스와 가장 유사해보입니다. 랜섬웹은 랜섬웨어와 비교했을 때, 암호화하는 데이터의 규모가 크고 가치가 높으며, 준비기간이 길다는 특징이 있습니다. ※ 관련 글 - 랜섬웹이란? (▶바로가기) [그..

악성코드 분석 리포트 2017. 6. 13. 15:21

지난 주말(6/10) 특정 웹호스팅을 받는 일부 서버들이 Erebus 랜섬웨어의 공격을 받았습니다. 웹호스팅 업체는 고객사의 홈페이지와 홈페이지를 운영하기 위한 각종 정보들을 서버에 저장하여 서비스합니다. 해당 서버는 랜섬웨어의 공격을 받아 153대가 감염되었으며, 공격받은 서버 내 주요 Data가 암호화되어 현재 해당 웹호스팅 업체를 통해 운영되는 홈페이지 일부가 정상적으로 서비스되지 않고 있는 상황입니다. 이번 공격은 Erebus 랜섬웨어를 통해 이뤄졌으며, 특히 Erebus 리눅스용 랜섬웨어를 통해 웹호스팅 업체의 리눅스 서버가 감염된 것으로 확인되고 있습니다. Erebus 랜섬웨어에 의해 공격을 받은 페이지에 접속하면 다음과 같은 랜섬메시지가 보여지고, 복호화 비용으로 5.4 비트코인(6/11 기..

악성코드 분석 리포트 2017. 6. 12. 11:20

전 세계를 공포로 몰아넣었던 워너크라이(WannaCry) 랜섬웨어로 인해, 랜섬웨어 감염으로부터 문서 자산을 보호하기 위한 기업들의 경각심이 크게 증가한 것으로 나타났습니다. 워너크라이 사태 이후, 랜섬웨어 방어와 자료 복구에 특화된 솔루션 도입 움직임이 국내 기업들 사이에서 활발하게 이루어지고 있습니다. 실제로 워너크라이 사태 이후 PC용 통합 백신 ‘알약’의 온라인 구매 매출이 평상 시보다 300% 이상 급증하였으며, 랜섬웨어에 특화된 자료 복구 솔루션 ‘랜섬쉴드’ 제품군에 대한 도입 문의도 지속적으로 이어지고 있습니다. 더불어 국내 기업에서 랜섬웨어 차단 기능을 가진 백신 도입의 움직임이 본격화되는 동시에, 랜섬웨어 감염으로부터 문서 자료를 원천적으로 보호할 수 있는 ‘파일 백업과 복원’ 솔루션에 ..

이스트시큐리티 소식 2017. 6. 9. 13:09

워너크라이 랜섬웨어 화면으로 위장한 모바일 랜섬웨어 등장 안녕하세요. 이스트시큐리티입니다.최근 중국에서 千变语音(음성변경), 千变语音秀(음성변화 쇼), 主流影视大全(주요 영화 및 TV) 등의 이름으로 위장한 모바일 랜섬웨어가 확인되어 이용자들의 주의를 당부 드립니다. [그림 1] 모바일 랜섬웨어 설치 화면 이번에 발견된 모바일 랜섬웨어는 올해 5월경, 전세계적으로 이슈가 되었던 워너크라이(WannaCry) 랜섬웨어의 결제화면을 이용하고 있습니다. [그림 2] 모바일 랜섬웨어 감염 화면 [그림 3] 랜섬웨어에 감염된 단말기 화면 공격자는 피해자에게 암호화된 파일을 복호화하려면 20위안(한화 약 3,300원)을 Alipay, WeChat, QQ로 결제해야 한다고 협박합니다. [그림 4] 지불 수단 안내 메시..

악성코드 분석 리포트 2017. 6. 8. 16:01

WannaCry, 코딩 실수로 인해 감염 후에도 파일 복구 가능성 생겨WannaCry Coding Mistakes Can Help Files Recovery Even After Infection 보안연구원들은 최근 WannaCrypt 랜섬웨어에 의해 암호회된 파일들을 복구할 수 있을 가능성을 발견하였습니다. WannaCry 코드를 자세히 분석해 본 결과, 피해자들이 무료로 공개 된 복구 툴이나 단순한 명령어 만으로도 암호화 된 파일들을 복구할 수 있는 가능성이 보이는 코드상의 많은 실수를 발견했습니다. 암호화 된 파일들을 다시 복구할 수 있을 수도 있는 3가지 오류를 자세히 공개하였습니다. 이 이슈는 WannaCry 랜섬웨어가 파일을 암호화한 후 원본 파일을 삭제하는 방식에 존재합니다. 일반적으로, 이 ..

국내외 보안동향 2017. 6. 7. 13:39

'eFINE 교통범칙금 인터넷 납부'로 돌아온 비너스락커 주의! 안녕하세요. 이스트시큐리티입니다.최근 AutoCryptor 랜섬웨어가 국가 기관 및 기업, 그리고 블로그 서비스 이용자를 대상으로 '설문조사', '페덱스 배송'. '차량 법규 위반 과태료 통지서' 등 다양한 형태의 메일로 유포되었습니다. ※ 관련 글 - 10분의 1수준, 저렴한 암호 해독 비용 요구하는 '박리다매'형 랜섬웨어 유포 중! (▶바로가기) - 글로벌 특송업체 '페덱스' 배송팀을 사칭한 '오토크립터' 한국형 랜섬웨어 확산! (▶바로가기) - '차량 법규 위반 과태료 통지서'로 위장한 '오토크립터' 랜섬웨어 국내 다량 유포 주의 (▶바로가기) 그리고 이번에는 '[eFINE]위반사실 통지 및 과태료부과 사전통지서'라는 제목의 이메일을 ..

악성코드 분석 리포트 2017. 6. 1. 17:20