▲ 부팅 화면에서 보여지는 페트야(PETYA) 랜섬웨어 결재 안내창 27일(현지시간)부터 유럽을 중심으로 급속히 확산되고 있는 ‘페트야(Petya) 랜섬웨어’가 워너크라이 랜섬웨어와 상당 부분 유사하며, 일부 진화된 특성으로 더욱 큰 피해도 가져올 수 있는 것으로 보입니다. 이에 사용자 주의를 당부 드립니다. 지난 5월 발생한 워너크라이 랜섬웨어 공격이 기존의 랜섬웨어와 비교해 매우 빠른 속도로 세계 각국에 확산된 이유로는 두 가지를 들 수 있습니다. 첫 번째로는 최초로 윈도 OS의 SMB 취약점을 활용한 점과 한 대의 PC가 감염되면, 인터넷에 연결되어있고 보안에 취약한 다른 PC를 무작위로 찾아내 감염 공격을 시도하여 마치 전염병과 같은 네트워크 웜(Worm)의 특성도 지니고 있었기 때문입니다. 현재..

이스트시큐리티 소식 2017. 6. 28. 13:08

2017년 5월 12일, 전 세계적인 사이버 공격이 발생하여 크게 이슈가 되었습니다. 스스로를 워너크라이(WannaCry)라는 랜섬웨어로 칭하는 사이버 공격은 최신 제로데이를 이용하여 빠른 확산에 성공했습니다. 해외 보안 업체 시만텍은 랜섬웨어의 경우, 작년 한 해에만 매일 4,000건 이상의 공격이 있었다고 밝혔습니다. 이처럼 사이버 공격은 더욱 스마트해지며 그 파급력도 함께 커지고 있습니다. 워너크라이(WannaCry) 랜섬웨어는 전통적인 방식인 파일 암호화기능을 수행하지만, SMBv1 취약점과 전자메일을 이용한 방법이 추가된 형태입니다. SMBv1 제로 데이 공격은 445포트가 열려있을 경우 인터넷에 연결된 장치를 직접 공격할 수 있으며, 전자메일 피싱으로 악성코드가 실행되는 경우 로컬 망에서도 악..

전문가 기고 2017. 6. 27. 13:17

안녕하세요. 이스트시큐리티입니다. 지난 5월 우리나라는 약 한달새 연달아 등장한 랜섬웨어 이슈로 인해 보안 업계와 사용자 모두 긴장을 늦출 수 없었습니다. 불특정 다수를 노려 사용자들의 보안 경각심을 불러일으켰던 '워너크라이(WannaCry)' 랜섬웨어 사태와, 웹 호스팅 업체를 노린 APT 공격으로 추정되는 리눅스 기반의 '에레부스(Erebus)’ 랜섬웨어 사태 때문입니다. 이 두 사건에는 분명 주목해야 할 다른 점이 있으며, 우리가 취해야 할 태도에 대해 생각해보는 계기가 되었습니다. 먼저 워너크라이 랜섬웨어는 불특정 다수를 노린 무작위 랜섬웨어 공격이었으며 네트워크를 타고 전파되는 웜의 특성으로 인해 전 세계에 빠른 속도로 전파되었습니다. 다행히 우리나라는 사태 발생 당시 주중 업무를 마치고 주말이..

전문가 기고 2017. 6. 26. 15:59

최근 호주 카메라 운영사인 Redflex를 통해 55개의 신호 위반 카메라 및 속도 위반 카메라들이 WannaCry랜섬웨어에 감염되었습니다. WannaCry는 중요한 파일들을 암호화하고 돈을 요구한 것으로 나타났습니다. 관계자들은 “이 바이러스의 확산을 막는 시스템 패치가 완료 되었다. 카메라들에서 WannaCry를 제거하는 작업을 진행 중이다. 나머지 웹사이트들은 수일 이내에 수정 될 것이다.”고 밝혔습니다. 호주 당국은 이러한 감염이 ‘인재’라기 보다는 타겟형 사이버 공격의 결과라 생각한다며, WannaCry가 USB 드라이브를 통해 감염 된 것으로 추측 된다고 밝혔습니다. 경찰은 “카메라에서 소프트웨어 바이러스가 발견되긴 했지만, 카메라의 시스템은 손상 되지 않았다. 우리는 카메라가 감염된 시간에 ..

국내외 보안동향 2017. 6. 23. 15:42

ホンダが工場など複数拠点でWannaCry感染、一部の生産に影響 2017년 6월 18일 저녁, 세계 여러곳의 혼다가 랜섬웨어 'WanaCry'에 감염되었습니다. 혼다는 이미 랜섬웨어 감염에 대한 대응조치를 취하고 있지만, 일부 생산라인에 영향이 있는 것으로 확인되었습니다. 감염된 기기들은 공장 설비라인에 설치되어 있는 PC로, 생산라인 관리 등에 사용하는 것입니다. 구체적인 감염지역이나 감염대수는 밝혀지지 않고 있으며, 감염된 PC들은 감염 즉시 네트워크 분리가 이루어 진것으로 밝혀졌습니다. 각 공장에서는 보안향상을 위해 WannaCry 랜섬웨어에 대한 공지를 하고 있었기 때문에 빠른 초동대응이 가능하였고, 랜섬웨어의 협박 화면은 나오지 않은 것으로 확인되었습니다. WannaCry랜섬웨어는 Windows의 취..

국내외 보안동향 2017. 6. 22. 17:12

전 세계를 공포로 몰아넣었던 워너크라이(WannaCry) 랜섬웨어로 인해, 랜섬웨어 감염으로부터 문서 자산을 보호하기 위한 기업들의 경각심이 크게 증가한 것으로 나타났습니다. 워너크라이 사태 이후, 랜섬웨어 방어와 자료 복구에 특화된 솔루션 도입 움직임이 국내 기업들 사이에서 활발하게 이루어지고 있습니다. 실제로 워너크라이 사태 이후 PC용 통합 백신 ‘알약’의 온라인 구매 매출이 평상 시보다 300% 이상 급증하였으며, 랜섬웨어에 특화된 자료 복구 솔루션 ‘랜섬쉴드’ 제품군에 대한 도입 문의도 지속적으로 이어지고 있습니다. 더불어 국내 기업에서 랜섬웨어 차단 기능을 가진 백신 도입의 움직임이 본격화되는 동시에, 랜섬웨어 감염으로부터 문서 자료를 원천적으로 보호할 수 있는 ‘파일 백업과 복원’ 솔루션에 ..

이스트시큐리티 소식 2017. 6. 9. 13:09

WannaCry, 코딩 실수로 인해 감염 후에도 파일 복구 가능성 생겨WannaCry Coding Mistakes Can Help Files Recovery Even After Infection 보안연구원들은 최근 WannaCrypt 랜섬웨어에 의해 암호회된 파일들을 복구할 수 있을 가능성을 발견하였습니다. WannaCry 코드를 자세히 분석해 본 결과, 피해자들이 무료로 공개 된 복구 툴이나 단순한 명령어 만으로도 암호화 된 파일들을 복구할 수 있는 가능성이 보이는 코드상의 많은 실수를 발견했습니다. 암호화 된 파일들을 다시 복구할 수 있을 수도 있는 3가지 오류를 자세히 공개하였습니다. 이 이슈는 WannaCry 랜섬웨어가 파일을 암호화한 후 원본 파일을 삭제하는 방식에 존재합니다. 일반적으로, 이 ..

국내외 보안동향 2017. 6. 7. 13:39

SMB 취약점의 위협은 아직 끝나지 않았다 WannaCry 랜섬웨어 사태 이후, 보안연구원들은 많은 해커들이 Windows SMB 취약점(CVE-2017-0143)을 악용해 공격을 시도한다는 사실을 발견했습니다. 뿐만 아니라 Eternalblue SMB취약점(MS17-010)은 이미 Metasploit에도 추가되어 많은 보안연구원과 해커들이 더 쉽게 해당 취약점을 사용할 수 있게 되었습니다. WannaCry와 같은 전세계적인 공격 이외에도, 많은 해커조직과 범죄조직에서 Eternalblue 취약점을 악용하여 크고 작은 공격을 진행하고 있습니다. 이에 이스트시큐리티는 Eternalblue 취약점을 악용한 공격들을 정리해 보았습니다. . 1) EternalRocks 웜 5월 17일, 보안연구원은 SMB 취약..

국내외 보안동향 2017. 5. 24. 10:24