Gootkit malware returns to life alongside REvil ransomware 1년 간의 휴가 끝에, Gootkit 정보 탈취 트로이목마가 독일을 노리는 새로운 캠페인과 함께 부활했습니다. Gootkit 트로이목마는 자바스크립트 기반 악성코드로 공격자에게 원격 접속 제공, 키로깅, 영상 녹화, 이메일 탈취, 비밀번호 탈취, 인터넷 뱅킹 자격 증명을 훔치기 위해 악성 스크립트를 주입하는 등 다양한 악성 행위를 수행합니다. 지난 해, Gootkit 공격자들은 인터넷에 MongoDB 데이터베이스를 노출해 정보 유출 사고를 겪었습니다. 이 사건 이후 GootKit 공격자들은 이번 달 다시 공격을 시작하기 전 까지 활동을 중단한 것으로 알려져 있습니다. GootKit, 랜섬웨어와의 파트..

국내외 보안동향 2020. 12. 1. 09:01

Sodinokibi ransomware hits Managed.com hosting provider, 500K ransom 관리형 웹 호스팅 서비스 제공 업체인 Managed.com이 주말 동안 Sodinokibi 랜섬웨어 공격을 받아 시스템을 복구하기 위해 서버와 웹 호스팅 시스템을 오프라인으로 전환했습니다. 지난 월요일, Managed.com은 호스팅 서비스를 이용할 수 없는 문제를 겪었다며 이를 조사 중이라 발표했습니다. Managed.com은 지난 화요일 랜섬웨어 공격을 받았다고 밝히며 “고객 데이터의 무결성”을 보호하기 위해 고객의 웹사이트를 포함한 전체 시스템을 다운시키기로 결정했다고 밝혔습니다. Manage.com은 공지를 통해 아래와 같이 밝혔습니다. “2020년 11월 17일: Manag..

국내외 보안동향 2020. 11. 19. 14:00

Chilean bank BancoEstado hit by REVil ransomware 칠레 최대 규모 은행 중 하나인 BancoEstado가 랜섬웨어 공격을 받아 지난 9월 7일부터 지점을 폐쇄했습니다. 이 랜섬웨어는 회사 서버 대부분과 워크스테이션을 암호화한 것으로 나타났습니다. 해당 공격은 주말 동안 발생했으며 은행은 트위터를 통해 BancoEstado 침해 사건이 종결되었다고 공지했습니다. 은행은 지난 일요일 트위터를 통해 공격 받은 사실을 밝혔으며 사건을 조사하고 시스템 복구를 위해 지점을 폐쇄하기로 결정했다고 밝혔습니다. “은행 지점은 운영되지 않을 것이며 오늘도 폐쇄된 상태를 유지할 것입니다.” 은행은 사건에 대한 조사를 시작하고 칠레 경찰에 이를 신고했습니다. 칠레의 사이버 보안 사고 대응..

국내외 보안동향 2020. 9. 8. 14:00

DarkSide: New targeted ransomware demands million dollar ransoms 이달 초부터 DarkSide라는 새로운 랜섬웨어가 공격을 수행하기 시작했습니다. DarkSide는 커스텀 공격을 통해 이미 수백 만 달러를 벌어들인 것으로 나타났습니다. 공격자들은 2020년 8월 10일부터 이 랜섬웨어를 통해 수 많은 기업을 노린 타깃 공격을 수행하기 시작했습니다. 공격자들은 “보도 자료”를 발표해 자신들이 다른 랜섬웨어와의 제휴를 통해 이미 수백 만 달러를 벌어들였다고 주장했습니다. 하지만 그들의 구미에 맞는 새로운 “제품”을 찾지 못하자 자체적으로 운영하기로 결정한 것으로 나타났습니다. “우리 제품은 시장에 막 출시된 새로운 것입니다. 하지만 그렇다고 경험 없이 갑자기..

국내외 보안동향 2020. 8. 24. 09:00

REVil ransomware infected 18,000 computers at Telecom Argentina 아르헨티나의 최대 규모 인터넷 서비스 제공 업체 중 하나인 Telecom Argentina가 랜섬웨어의 공격을 받은 것으로 나타났습니다. 랜섬웨어 운영자들은 지난 주말 동안 컴퓨터 약 18,000대를 감염시켰으며 랜섬머니로 750만 달러를 요구하고 있습니다. 이 사고는 지난 토요일인 7월 18일 발생했으며 회사 업무에 치명적인 영향을 끼쳤습니다. 공격자들은 먼저 회사 네트워크로의 접근 권한을 얻어 내부 도메인 관리자 권한을 탈취해 만 대가 넘는 컴퓨터를 감염시킬 수 있었습니다. 이 사고로 인해 해당 ISP 고객의 연결성에는 문제가 발생하지 않았습니다. 유선 통신 및 케이블 TV 서비스 또한 ..

국내외 보안동향 2020. 7. 21. 14:00

REvil ransomware scans victim's network for Point of Sale systems 시만텍 연구원들이 REvil 랜섬웨어 운영자가 피해자 네트워크에서 PoS 시스템을 탐색하기 시작했다고 밝혔습니다. Sodinokibi로도 알려진 REvil은 서비스형 랜섬웨어(RaaS)로 익스플로잇, 노출된 원격 데스크톱 서비스, 스팸, 해킹된 MSP 등을 통해 기업 네트워크를 해킹하는 것으로 알려져 있습니다. 운영자는 타깃 네트워크에 접근한 후 측면 이동을 통해 확산되며 서버와 워크스테이션의 데이터를 훔친 후 도메인 컨트롤러에 대한 관리자 접근 권한을 얻어 네트워크 상의 모든 기기를 암호화합니다. 시만텍이 관찰한 한 캠페인에서 REvil의 제휴 파트너는 상용 Cobalt Strike 침..

국내외 보안동향 2020. 6. 24. 14:00

REvil ransomware gang launches auction site to sell stolen data REvil(Sodinokibi) 랜섬웨어 운영자가 해킹한 회사의 데이터를 판매하기 위해 eBay와 유사한 경매 사이트를 런칭했습니다. 이 경매 포털은 REvil 랜섬웨어가 가장 최근 내 놓은 협박 전략으로, 다시 한번 랜섬웨어 계의 트렌드세터로 자리매김했습니다. REvil 랜섬웨어는 가장 활발히 활동하고 공격적인 랜섬웨어 중 하나로 알려져 있습니다. 이들은 일반 소비자가 아닌 기업을 노립니다. 이들은 네트워크 어플라이언스에 존재하는 취약점을 악용하여 기업 네트워크에 침투해 피해자의 파일을 암호화한 후 천문학적인 랜섬머니를 요구합니다. (평균 금액 ~$260,000 상당) 또한 REvil은 다..

국내외 보안동향 2020. 6. 3. 09:37

REvil Ransomware found buyer for Trump data, now targeting Madonna Sodinokibi 해커 그룹이 미 대통령 도널드 트럼프와 관련된 정보가 포함된 문서의 구매자가 나타났으며, 가수 마돈나와 관련된 정보 경매를 준비 중이라고 주장했습니다. 이들은 다수의 유명 인사를 고객으로 보유한 로펌 GSMLaw(Grubman Shire Meiselas & Sacks) 네트워크를 해킹해 가치 있다고 판단되는 모든 자료를 탈취하고 데이터 암호화 작업을 수행했습니다. Sodinokibi 그룹은 해당 기업과 협상 후 가장 무해하다고 판단되는 도널드 트럼프 관련 정보가 포함된 아카이브를 공개했습니다. 여기에는 160개 이상의 이메일이 포함됩니다. 또한 수집한 고객 데이터의 ..

국내외 보안동향 2020. 5. 20. 18:00