REvil ransomware returns: New malware sample confirms gang is back 러시아와 미국 사이의 긴장이 고조되고 있는 가운데, 악명 높은 REvil 랜섬웨어가 다시 활동을 재개했습니다. 새로운 버전은 새로운 인프라와 개선된 암호화기를 통해 표적화된 공격이 가능해졌습니다. 지난 10월 법 집행 기관이 REvil 랜섬웨어의 Tor 서버를 압수한 후 러시아의 법 집행 기관이 그룹의 멤버를 체포하여 활동을 중단했습니다. 하지만, 러시아는 우크라이나 침공 이후 미국이 REvil 그룹에 대한 협상 과정을 포기하고 관련된 통신 채널을 폐쇄했다고 밝힌 바 있습니다. 다시 살아난 REvil의 Tor 사이트 이후 얼마 지나지 않아, 기존 REvil의 Tor 인프라가 다시 작동하..

국내외 보안동향 2022. 5. 2. 09:00

Bitdefender released free REvil ransomware decryptor that works for past victims Bitdefender가 지난 7월 13일 REvil(Sodinokibi) 랜섬웨어 운영이 일시적으로 중단되기 전 감염된 피해자가 사용할 수 있는 마스터 복호화 툴을 무료로 공개했습니다. 7월 2일, REvil 운영자는 MSP와 고객에 영향을 미치는 Kaseya 클라우드 기반 MSP 플랫폼을 공격했습니다. REvil 랜섬웨어 운영자는 먼저 Kaseya VSA의 인프라를 해킹한 후 VSA 온-프레미스 서버에 악성 업데이트를 푸시하는 방식으로 엔터프라이즈 네트워크에 랜섬웨어를 배포했습니다. 이 그룹은 Kaseya 공급망 랜섬웨어 공격의 영향을 받은 모든 시스템을 복호..

국내외 보안동향 2021. 9. 17. 09:00

Russian Ransomware Group REvil Back Online After 2-Month Hiatus 서비스형 랜섬웨어(RaaS)인 REvil의 운영자가 지난 7월 4일 Kaseya를 노린 공격 이후 2개월 간 활동을 중단한 후 복귀했습니다. 해당 그룹의 데이터 유출 사이트인 Happy Blog와 지불/협상 사이트를 포함한 다크웹 포털 두 개가 다시 온라인에 나타났으며, 가장 최근 피해자는 7월 8일에 추가되었습니다. 이는 7월 13일 사이트가 사라지기 5일 전입니다. REvil이 활동을 시작했는지 또는 새로운 공격을 시작했는지는 아직까지 명확히 밝혀지지 않았습니다. Emsisoft의 위협 연구원인 Brett Callow는 지난 화요일 트위터를 통해 아래와 같이 밝혔습니다. "불행히도, Ha..

국내외 보안동향 2021. 9. 10. 14:00

The infrastructure and websites used by REvil ransomware gang are not reachable 7월 14일 오후 3시경 이후로 Sodinokibi 랜섬웨어 그룹이 사용하는 인프라와 웹사이트가 접속이 불가능한 상태가 되었습니다. 이를 보도한 Bleeping Computer는 아래와 같이 밝혔습니다. “Sodinokibi(REvil) 랜섬웨어는 랜섬머니 협상 사이트, 랜섬웨어 데이터 유출 사이트, 백엔드 인프라로 사용되는 수 많은 클리어 웹 및 다크웹 사이트를 통해 운영됩니다. 14일 오후 3시경 이후, Sodinokibi 랜섬웨어 작전에 사용된 웹사이트 및 인프라가 이유를 밝히지 않은 채 운영이 중단되었습니다.” Tor 유출 사이트 및 지불 웹사이트인 “de..

국내외 보안동향 2021. 7. 15. 14:00

Kaseya: Roughly 1,500 businesses hit by REvil ransomware attack Kaseya는 Sodinokibi 공급망 랜섬웨어 공격이 회사의 VSA 온-프레미스 제품을 사용하는 고객 약 60명의 시스템을 침해했다고 밝혔습니다. 또한 회사는 현재까지 Kaseya 원격 관리 툴을 사용하여 네트워크를 관리하는 다운 스트림 피해자가 최대 1,500명에 달한다고 밝혔습니다. Kaseya는 보도자료를 통해 아래와 같이 밝혔습니다. “이 공격은 제한적인 영향을 미쳤으며, Kaseya 고객 3만 5천곳 이상 중 약 50곳만 공격을 받았습니다. Kaseya의 고객은 로컬 및 중소기업 약 80만~100만 곳을 관리하고 있지만, 이 중 800~1,500곳 만이 침해되었습니다.” 이 회사..

국내외 보안동향 2021. 7. 7. 09:00

2021년 7월 2일, Sodinokibi(REvil) 랜섬웨어 해킹 조직이 제로데이 취약점을 악용하여 미국 IT관리용 솔루션 제공 업체인 Kaseya의 VSA(원격 모니터링 및 관리 소프트웨어) 서버를 악용하여 랜섬웨어를 배포하였습니다. ▶ 관련 포스팅 보기 이번 공격으로 인해 미국을 비롯한 영국, 남아프리카 공화국 등 최소 17개국에서 피해가 발생한 것으로 추정되고 있습니다. 스위스의 가장 큰 슈퍼마켓 체인인 Coop 역시 이번 공격의 영향을 받아 800여개의 체인점 영업을 중단하였습니다. 이번 CISA-FBI는 Kaseya VSA 공급망 랜섬웨어 공격의 영향을 받는 사용자들에게 위험 완화 조치를 공개하였습니다. 1) Kaseya VSA Detection Tool 다운로드 2) 조직에서 사용하는 모든..

국내외 보안동향 2021. 7. 6. 16:49

REvil ransomware asks $70 million to decrypt all Kaseya attack victims Sodinokibi 랜섬웨어가 Kaseya 공급망 공격 중 암호화된 모든 시스템을 복호화하기 위한 가격을 책정했습니다. 이들은 모든 기업이 파일을 복호화할 수 있는 툴의 가격으로 7천만 달러 상당의 비트코인을 요구했습니다. 지난 금요일 발생한 이 공격은 관리 서비스 제공업체(MSP)에서 고객 시스템을 모니터링하고 패치 관리를 위해 사용되는 Kaseya VSA 클라우스 기반 솔루션을 통해 확산되었습니다. 많은 MSP 업체의 고객이 이 공격에 영향을 받았으며, Sodinokibi 랜섬웨어는 전 세계에 걸쳐 최소 1,000개 기업의 네트워크를 암호화했습니다. 공격자는 유출 사이트를 통..

국내외 보안동향 2021. 7. 6. 09:00

Ransomware gang plans to call victim's business partners about attacks Sodinokibi 랜섬웨어 운영자가 피해자가 랜섬머니를 지불하도록 협박하기 위해 DDoS 공격 및 언론인과 피해자의 사업 파트너에게 음성 전화를 진행할 것이라 공지했습니다. Sodinokibi는 서비스형 랜섬웨어(RaaS)로 랜섬웨어 운영자가 악성코드 및 결제 사이트를 개발하고, 파트너들이 기업 네트워크를 해킹하여 랜섬웨어를 배포하는 방식을 사용합니다. 이 거래를 통해 Sodinokibi 개발자는 랜섬머니의 20%~30%를 가지고 파트너는 나머지 70~80%를 가져갑니다. 피해자가 랜섬머니를 지불하도록 압력을 가하기 위해, 랜섬웨어 운영자들은 피해자가 랜섬머니를 지불하지 않을 ..

국내외 보안동향 2021. 3. 8. 14:20