New Avaddon Ransomware launches in massive smiley spam campaign 새로운 Avaddon 랜섬웨어가 스마일, 윙크 이모티콘이 포함된 전 세계 사용자들을 노리는 대규모 스팸 캠페인을 통해 Avvaddon 랜섬웨어가 배포되고 있는 것으로 나타났습니다. Avaddon은 이달 초 활동을 시작했으며, 해커와 악성코드 배포자를 적극적으로 모집해 다양한 방법으로 랜섬웨어를 확산시키고 있습니다. Avaddon 랜섬웨어는 지난 2월 Nemty 랜섬웨어의 러브레터 캠페인을 연상시키는 스팸 캠페인을 통해 배포되고 있습니다. 내 사진이 마음에 드시나요? 이메일은 "Your new photo?" 또는 "Do you like my photo?"와 같은 제목을 사용하고, 메일 내용에는..

국내외 보안동향 2020. 6. 9. 09:28

안녕하세요? 이스트시큐리티 ESRC 입니다. 2020년 1분기, 알약을 통해 총 185,105건의 랜섬웨어 공격이 차단된 것으로 확인되었습니다. 이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약의 ‘랜섬웨어 행위 기반 차단 기능’을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 공격까지 포함하면 전체 공격은 더욱 많을 것으로 예상됩니다. 통계에 따르면, 2020년 1분기 알약을 통해 차단된 랜섬웨어 공격은 총 185,105건으로, 이를 일간 기준으로 환산하면 일 평균 약 2,057건의 랜섬웨어 공격이 차단된 것으로 볼 수 있습니다. ESRC는 1분기 랜섬웨어 주요 동향으로 랜섬웨어 공격자들의 '코로나 키워드 활용' 및 기존 ‘Sodinokibi&Nemty 랜섬웨어의 건재’를 꼽았습니다. 2..

전문가 기고 2020. 4. 7. 13:42

안녕하세요. ESRC(시큐리티 대응센터)입니다. 비너스락커 조직, 여전히 이력서를 위장해 랜섬웨어 유포중인것으로 확인되었습니다. [그림 1] 이력서를 위장한 악성 메일 이번에 발견된 악성메일에 포함된 첨부파일도 기존에 유포되었던 악성파일들과 마찬가지로 압축파일 안에 또 다른 압축파일이 포함된 이중압축을 통해 보안sw의 탐지를 우회하려고 시도하고 있습니다. [그림 2] 압축파일 안에 또 다른 압축파일이 포함 이중압축 내부에는 pdf 파일을 위장한 exe 파일이 포함되어 있습니다. [그림 3] 이중압축 해제 후 보이는 파일 사용자가 만약 이중압축 해제 후, 압축파일에 포함되어 있던 실행파일을 실행하면 Nemty 랜섬웨어 3.1버전에 감염되게 됩니다. [그림 4] 랜섬노트 현재 알약에서는 해당 랜섬웨어에 대해..

악성코드 분석 리포트 2020. 4. 2. 15:48

Nemty Ransomware Punishes Victims by Posting Their Stolen Data Nemty 랜섬웨어가 훔친 데이터를 게시하는 사이트를 만들었습니다. 랜섬웨어 운영자들은 2019년부터 피해자가 돈을 지불하지 않을 경우 훔친 데이터를 공개적으로 게시하는 전략을 사용하기 시작했습니다. 공격자가 회사의 재무 정보, 직원의 개인 정보, 고객 데이터를 훔쳐 게시할 경우, 이는 단순한 랜섬웨어 공격이 아닌 데이터 유출로 이어집니다. Maze 랜섬웨어가 훔친 파일을 게시하자, DoppelPaymer와 Sodinokibi 등 다른 랜섬웨어 패밀리들 또한 피해자를 협박하기 위한 유출 사이트를 개설했습니다. 이제 Nemty 랜섬웨어 또한 피해자가 돈을 지불하지 않을 경우 기기를 암호화하기 전..

국내외 보안동향 2020. 3. 4. 08:33

Nemty ransomware “LOVE_YOU” malspam campaign Malwarebytes와 X-Force IRIS의 연구원들이 비밀 연애 편지로 위장한 메시지를 통해 Nemty 랜섬웨어를 배포하는 스팸 캠페인을 발견했습니다. 이 캠페인은 현재도 진행 중입니다. 공격자들은 이 메시지를 비밀 연애 편지로 위장하기 위해 메일 제목을 “Don’t tell anyone,” “I love you,” “Letter for you,” “Will be our secret,” “Can’t forget you”와 같이 작성했습니다. 모든 스팸 메일의 내용은 ‘;)’ 이모티콘만을 포함하고 있었습니다. 또한 (‘LOVE_YOU_######_2020.zip’)와 같은 형식의 ZIP 압축파일을 첨부하고 있었습니다. ..

국내외 보안동향 2020. 3. 3. 10:14

Nemty Ransomware to Start Leaking Non-Paying Victim's Data Nemty 랜섬웨어가 피해자가 랜섬머니를 지불하지 않을 경우 훔친 데이터를 게시하는 블로그를 개설할 계획인 것으로 나타났습니다. Maze 랜섬웨어가 먼저 시작하여 이제 Sodinokibi 랜섬웨어 또한 시행하기 시작한 이 새로운 전략은 암호화 하기 전의 회사들의 파일을 훔치는 것입니다. 만약 피해자가 랜섬머니를 지불하지 않을 경우 훔친 데이터는 지불이 완료되기 전까지 조금씩 공개하거나 모두 공개합니다. 이는 데이터 유출로 인한 벌금, 공지에 드는 비용, 거래 및 기업 비밀 유출, 브랜드 이미지 타격, 개인 정보 공개로 인한 소송에 드는 비용보다는 랜섬머니가 상대적으로 저렴하므로 기업이 랜섬머니를 지불..

국내외 보안동향 2020. 1. 14. 09:52

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 공문을 사칭한 악성 메일이 지속적으로 유포중에 있어 사용자들의 주의가 필요합니다. [그림1] '전자상거래 위반행위 조사통지서'를 위장한 악성 메일 이번에 발견된 악성 메일은 '전자상거래 위반행위 조사통지서'를 위장하고 있으며, 메일 본문에는 실제로 공정거래위원회가 발송한것처럼 위장된 내용이 포함되어 있습니다. [그림2] 악성메일에 포함되어 있는 첨부파일 해당 악성 메일에 첨부되어 있는 압축파일 안에는 한글파일(.hwp)을 위장한 실행파일(.exe) 두개가 포함되어 있습니다. 사용자가 만약 첨부되어 있는 압축파일 내 파일을 실행하면 Nemty 랜섬웨어에 감염되게 됩니다. 알약에서는 현재 해당 랜섬웨어에 대하여 Trojan.Ransom.Nemty로..

악성코드 분석 리포트 2019. 11. 13. 13:22

안녕하세요.이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019/10/29) 오전부터 경력직 입사지원서로 위장한 Nemty Revenge 2.0 랜섬웨어가 대량으로 유포중인 정황이 확인되었습니다. 유포중인 입사지원서 위장메일은 대부분 지원자 이름을 메일 제목으로 하고 있습니다. [그림 1] 입사지원자 이름으로 위장한 악성메일 1 [그림 2] 입사지원자 이름으로 위장한 악성메일 2 이 외에도 다양한 이름의 입사지원자 이름을 제목으로 사용한 메일이 유포되고 있습니다. 경력직 입사지원서로 위장한 악성메일 캠페인은 비너스락커(Venus)조직의 수행으로 추정되며, 최근에도 입사지원서를 위장하여 Nemty 랜섬웨어를 유포한 케이스가 존재합니다. 또한 바로 몇주전에는 '공정거래위원회'를 사칭하여 악성메일을 ..

악성코드 분석 리포트 2019. 10. 29. 15:09