New Nemty Ransomware May Spread via Compromised RDP Connections 러시아 대통령과 안티바이러스 소프트웨어를 언급하는 새로운 랜섬웨어가 발견되었습니다. 연구원들은 이를 Nemty라 명명했습니다. 해당 이름은 암호화 프로세스 후 파일에 추가되는 확장자에서 이름을 따왔으며, 발견된 샘플은 Nemty 랜섬웨어의 첫 번째 버전입니다. 요구하는 랜섬 머니 다른 파일 암호화 악성코드처럼, Nemty 랜섬웨어 또한 섀도우 복사본을 제거하여 피해자가 파일을 복구할 수 없게 만들어 버립니다. 피해자는 암호화된 데이터를 복구하기 위한 복호화 키가 공격자 손에 있으며, 랜섬머니를 지불하면 데이터를 복구할 수 있다는 메시지를 확인하게 됩니다. 랜섬웨어 테스트 결과 요구하는 랜섬머..

국내외 보안동향 2019. 8. 27. 11:26

Beware of GermanWiper – the ransomware that is not ransomware 데이터 와이퍼 악성코드가 피해자의 중요한 파일을 삭제하고, 피해자들에게 파일 복구를 위한 랜섬머니를 요구하고 있습니다. 하지만, 이 랜섬웨어 캠페인은 거짓이며 운영자들은 데이터를 복구해줄 의도가 없는 것으로 나타났습니다. 지난주, 독일어 사용 지역에 확산된 한 랜섬웨어 캠페인이 감염시킨 모든 엔드포인트의 데이터를 삭제한다는 제보가 잇따랐습니다. 하지만, 이 랜섬웨어의 공격을 받은 지역은 독일어 사용 지역만이 아니었습니다. GermanWiper란? 보통 와이퍼(wiper) 멀웨어는 사용자의 데이터를 훼손하는 악성코드로 유명한데, 이번에 발견된 와이퍼 멀웨어의 경우 독일어 사용지역에서 주로 발견되어..

국내외 보안동향 2019. 8. 6. 17:00

New LooCipher Ransomware Spreads Its Evil Through Spam LooCipher라 명명된 새로운 랜섬웨어가 사용자를 감염시키는 실제 공격에 활발히 악용되고 있다는 사실이 발견되었습니다. 해당 랜섬웨어가 어떻게 배포되는지는 확실히 밝혀지지 않았으나, 지금까지 발견된 파일로 미루어 볼 때 스팸 캠페인을 통해 유포되는 것으로 판단됩니다. LooCipher는 보안 연구원인 Petrovic이 최초로 발견했습니다. 악성 문서를 통해 배포되는 LooCipher 연구원들은 어떤 피싱 캠페인을 통해 랜섬웨어가 배포되는지는 밝히진 못했으나, 악성 워드 문서인 "Info_BSV_2019.docm"를 통해 유포된다는 사실을 발견했습니다. 사용자가 해당 악성 문서를 클릭하면, 아래와 같이 매..

국내외 보안동향 2019. 6. 25. 10:19

RobbinHood Ransomware Claims It's Protecting Your Privacy 현재 활동 중인 새로운 랜섬웨어 RobbinHood가 발견되었습니다. 이 랜섬웨어는 네트워크 전체를 노리며 접근 가능한 모든 컴퓨터를 암호화시킵니다. 이후 감염된 컴퓨터 한 대 또는 감염된 네트워크 전체의 암호화를 해제하는 조건으로 비트코인을 요구합니다. 현재 이 랜섬웨어에 대해 알려진 사실은 많지 않으며, RobbinHood의 샘플 또한 발견되지 않았습니다. 하지만 피해자들로부터 랜섬노트 및 암호화된 파일을 얻어, 이 랜섬웨어가 어떻게 작동하는지 추측할 수 있었습니다. 특이한 점은, 피해자의 프라이버시를 중요하게 생각하여 돈을 지불한 피해자가 누구인지 공개하지 않을 것이라고 강조한다는 점입니다. Ro..

국내외 보안동향 2019. 4. 15. 10:04

B0r0nt0K Ransomware Wants $75,000 Ransom, Infects Linux Servers B0r0nt0K이라는 신종 랜섬웨어가 피해자의 웹사이트를 암호화 시키고 20 비트코인(약 $75,000상당)을 요구하고 있습니다. 이 랜섬웨어는 리눅스 서버를 감염시키는 것으로 알려졌으나, 윈도우 사용자들을 암호화할 수 있을 가능성도 있는 것으로 나타났습니다. BleepingComputer 포럼의 한 사용자는 고객의 웹사이트가 신종 B0r0nt0K 랜섬웨어에 감염되었다고 제보했습니다. 이 암호화된 웹 사이트는 우분투 16.04에서 실행되고 있었으며, 모든 파일이 암호화되고, 이름이 변경되고 .rontok 확장자가 붙었습니다. 이 랜섬웨어의 샘플은 아직까지 발견 되지 않아, 등록된 파일들 및 ..

국내외 보안동향 2019. 2. 26. 09:18

안녕하세요? 이스트시큐리티입니다. 최근 Outsider로 명명된 랜섬웨어가 새롭게 등장해 사용자의 각별한 주의가 필요합니다. Outsider 랜섬웨어는 확장자에 관계없이 모든 파일을 암호화하고 특정 확장자에 따라 암호화 방식을 달리합니다. 또한, 사용자 시스템뿐만 아니라 사용자시스템과 연결된 네트워크 드라이브까지 검사해 감염시키는 것이 특징입니다. 공격자는 파일 복호화 대가로 $900의 비트코인을 요구하며 금전적인 이득을 노립니다. 따라서, 본 보고서에서는 Outsider 랜섬웨어의 행위와 특징에 대해서 알아보고자 합니다. 악성코드 상세 분석 Outsider랜섬웨어는 사용자의 시스템 언어를 확인하여 암호화 여부를 결정합니다. 다음과 같은 언어를 사용 중일 경우에는 암호화를 진행하지 않으며, 이 외의 언어..

악성코드 분석 리포트 2019. 1. 24. 15:44

안녕하세요? 이스트시큐리티입니다. 최근 Facebook 아이콘으로 위장한 랜섬웨어가 등장해 사용자의 각별한 주의가 필요합니다. Facebook 악성코드는 히든티어(Hidden Tear) 오픈소스를 기반으로 제작된 랜섬웨어로, 사용자의 중요 파일을 암호화 한 뒤 ‘.Facebook’ 확장자를 추가합니다. 공격자는 이를 복호화해주는 대가로 0.29 비트코인을 요구하며 금전적인 이득을 목적으로 하고 있습니다. 본 보고서에서는 Facebook으로 위장한 랜섬웨어 행위와 이를 예방하기 위한 방법을 알아보고자 합니다. 악성코드 상세 분석 이번에 발견된 Facebook 랜섬웨어는 다음과 같이 실제 Facebook 아이콘을 사용합니다. 또한 파일 속성에 Facebook Official이라는 설명을 사용하면서 정상 파일..

악성코드 분석 리포트 2018. 12. 13. 21:21

StatCounter Analytics Code Hijacked to Steal Bitcoins from Cryptocurrency Users 지난 주, 알려지지 않은 해커들이 비트코인이 사용하고 있는 웹 분석 서비스를 해킹해 코인을 훔치려 시도했습니다. ESET의 악성코드 연구원인 Matthieu Faou는 지난 주말 웹사이트 약 70만 곳에서 웹 분석 플랫폼인 StatCounter의 트래픽 트래킹 코드와 함께 묶인 악성 자바스크립트 코드를 발견했습니다. 연구코드 분석 결과, 연구원들은 해커가 StatCounter를 해킹하고 성공적으로 트래킹 스크립트를 악성 자바스크립트로 바꿔치기했다는 사실을 발견했습니다. 이 악성 자바스크립트 코드는 Gate.io 가상화폐 교환소의 고객을 공격하도록 설계 되었습니다...

국내외 보안동향 2018. 11. 9. 17:09