Nemty 1.6 Ransomware Released and Pushed via RIG Exploit Kit RIG 익스플로잇 키트가 새로운 Nemty 랜섬웨어 변종을 포함하는 악성코드를 배포하고 있는 것으로 나타났습니다. 익스플로잇 키트 연구원인 mol69가 처음으로 발견한 이 멀버타이징 캠페인은 Internet Explorer(IE)와 Flash Player를 사용하는 기업 사용자들을 노리며 타깃을 RIG 익스플로잇 키트로 이동시키고 있었습니다. 사용자가 오래된 버전의 프로그램을 실행하면 익스플로잇 키트 랜딩 페이지로 이동됩니다. 그리고 악성 스크립트는 브라우저 취약점을 악용하여 Nemty 1.6 랜섬웨어를 포함한 다양한 악성코드를 설치하려 시도합니다. 가장 눈에 띄는 변화점은 아래와 같이 랜섬 노트..

국내외 보안동향 2019. 10. 14. 14:53

Nemty Ransomware Decryptor Released, Recover Files for Free Nemty 랜섬웨어에 피해를 입은 사용자들이 기뻐할 만한 소식이 있습니다. 보안 연구원들이 무료로 파일을 복호화 할 수 있는 툴을 공개했습니다. Nemty 랜섬웨어는 2019년 8월부터 여러 배포 방법을 통해 유포된 랜섬웨어로, 많은 피해자들을 감염시키고 파일을 암호화했습니다. 보안 회사인 Tesorion의 연구원들은 Nemty 버전 1.4, 1.6용 복호화 툴을 개발했으며, 곧 1.5용 버전도 공개할 예정이라고 전했습니다. 복호화 툴은 현재 일부 파일 확장자만 지원하나 Tesorion 측은 지원 가능한 파일 유형을 매일 추가하고 있다고 밝혔습니다. 현재 지원하는 파일 유형은 아래와 같습니다:avi..

국내외 보안동향 2019. 10. 11. 09:25

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019/10/10) "전자상거래 위반행위 조사통지서"로 위장하여 Nemty 랜섬웨어가 유포되고 있는 정황이 포착되었습니다. ESRC 조사 결과, 비너스락커(VenusLocker) 조직의 소행으로 추정되며, 정부 공문 포맷 이미지를 이용해 현재 대량으로 유포되고 있어 사용자들의 각별한 주의가 필요합니다. [그림 1] "전자상거래 위반행위 조사통지서"로 위장한 악성 메일 [그림 2] 메일에 첨부된 공정거래위원회 통지서 상세 내용 이번에 발견된 스팸 캠페인은 한메일 계정을 통해 발송되었고, 이전에 유포된 적 있는 공정거래위원회를 사칭했습니다. 메일의 첨부파일은 7z 형식으로 압축되어 있었으며, 압축파일 내부에는 PDF 문서로 위장한 악성 EX..

악성코드 분석 리포트 2019. 10. 10. 13:16

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2019년 3분기, 알약을 통해 총 22만 9564건의 랜섬웨어 공격이 차단된 것으로 확인되었습니다. 이번 통계는 일반 사용자를 대상으로 제공하는 공개용 알약의 ‘랜섬웨어 행위기반 차단 기능’을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 공격까지 포함하면 전체 공격은 더욱 많은 것으로 예상됩니다. 통계에 따르면 2019년 3분기에 알약을 통해 차단된 랜섬웨어 공격은 총 22만 9564건으로, 이를 일간 기준으로 환산하면 일평균 약 2,496건의 랜섬웨어 공격이 차단된 것으로 볼 수 있습니다. 시큐리티대응센터(이하 ESRC)는 이번 3분기 주요 랜섬웨어 공격동향으로 3가지를 꼽았습니다. 먼저 2019년 2분기에 첫 등장했던 소디노키비(Sod..

전문가 기고 2019. 10. 10. 09:55

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019/09/30) "이름 지원서"로 위장하여 Nemty 랜섬웨어가 유포되고 있는 정황을 확인하였습니다. [그림 1] "이름 지원서"로 위장한 악성 메일 [그림 2] 지원서를 사칭한 악성 메일2 지원서를 위장한 악성 메일 캠페인은 비너스락커(VenusLocker) 조직의 수행으로 추정되며, 최근에도 채용 지원서를 위장하여 Nemty 랜섬웨어를 유포했습니다. 이번에 발견된 스팸 캠페인은 한메일 계정을 통해 발송되었고, 기존에 발견된 메일과 동일하게 입사지원서를 사칭했습니다. 메일의 첨부파일은 7z 형식으로 압축되어 있었으며, 압축파일 내부에는 MS Word 문서로 위장한 악성 EXE 랜섬웨어가 포함되어 있습니다. [그림 3] 스팸 메일에 ..

악성코드 분석 리포트 2019. 9. 30. 16:53

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일 ESRC에서는 "(이름) 지원서"로 위장하여 Nemty 랜섬웨어를 유포하는 악성 캠페인 정황을 포착하였습니다. [그림 1] "(이름) 지원서"로 위장한 악성 메일 금일 지원서를 위장한 악성 메일 유포는 비너스락커(VenusLocker) 조직의 수행으로 추정하고 있으며, 이전에도(9/11) 비너스락커 조직은 Nemty 랜섬웨어를 유포한 바가 있습니다. ※ 관련글 바로가기 ▶ 비너스락커 조직, 입사지원서를 위장한 메일로 랜섬웨어 'Nemty' 유포 중! (2019.09.11)▶ 비너스락커 조직, 새로운 랜섬웨어 'Nemty' 유포 시작 (2019.08.27) 이번에 발견된 스팸 캠페인은 한메일 계정을 통해 발송되었으며, 기존에 발견된 메일과 ..

악성코드 분석 리포트 2019. 9. 23. 13:47

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 구직/채용 지원서로 위장하여 Nemty 랜섬웨어를 유포하는 시도가 계속 발생하고 있습니다. [그림 1] 구직/채용 지원서로 위장한 악성메일 ESRC에서는 비너스락커 조직의 수행으로 추정하고 있으며, 비너스락커 조직은 8/27일 처음으로 신규 랜섬웨어인 Nemty를 유포한 바가 있습니다. ※ 관련글 바로가기 ▶ 비너스락커 조직, 새로운 랜섬웨어 'Nemty' 유포 시작 (2019.08.27) 이번에 발견된 스팸 캠페인 역시 이전과 동일하게 네이버 메일 계정을 통해 발송했습니다. 메일 내용은 입사지원서로 꾸몄습니다. 메일의 첨부파일은 7zip 형식으로 압축되어 있고, 압축파일 내부에는 PDF 문서로 위장한 악성 EXE 랜섬웨어가 포함되어 있습..

악성코드 분석 리포트 2019. 9. 11. 14:00

New Nemty Ransomware May Spread via Compromised RDP Connections 러시아 대통령과 안티바이러스 소프트웨어를 언급하는 새로운 랜섬웨어가 발견되었습니다. 연구원들은 이를 Nemty라 명명했습니다. 해당 이름은 암호화 프로세스 후 파일에 추가되는 확장자에서 이름을 따왔으며, 발견된 샘플은 Nemty 랜섬웨어의 첫 번째 버전입니다. 요구하는 랜섬 머니 다른 파일 암호화 악성코드처럼, Nemty 랜섬웨어 또한 섀도우 복사본을 제거하여 피해자가 파일을 복구할 수 없게 만들어 버립니다. 피해자는 암호화된 데이터를 복구하기 위한 복호화 키가 공격자 손에 있으며, 랜섬머니를 지불하면 데이터를 복구할 수 있다는 메시지를 확인하게 됩니다. 랜섬웨어 테스트 결과 요구하는 랜섬머..

국내외 보안동향 2019. 8. 27. 11:26