안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019.08.05) 중소기업을 타깃으로 입사지원서를 사칭한 악성 메일이 유포된 정황이 포착되어 이용자들의 주의를 당부드립니다. ESRC 분석 결과, 비너스락커(VenusLocker) 조직이 다시 RaaS 기반의 소디노키비 랜섬웨어를 활용해 악성 메일을 유포하고 있는 것으로 밝혀졌습니다. 이번에 발견된 입사지원서 메일은 리플라이 오퍼레이터에 비해 유창한 한글 표기법을 사용하였으며, 실제 입사지원서 메일 제목 양식처럼 "회사명_직무(이름)"으로 작성되었습니다. [그림 1] '입사지원서'로 위장한 악성 메일 이메일 본문을 살펴보면 마침표를 안 쓰는 특성을 확인하실 수 있습니다. 메일에 첨부된 파일인 '이지운.7z'에는 hwp 파일로 위장한 악..

악성코드 분석 리포트 2019. 8. 5. 17:07

A free Decryptor tool for GandCrab Ransomware released 갠드크랩(GandCrab) 최신 변종에 감염된 피해자들에게 좋은 소식이 있습니다. NoMoreRansomware가 갠드크랩 최신 버전용 무료 복호화 툴을 공개했습니다. 갠드크랩 최신 변종의 피해자들은 NoMoreRansom 웹사이트에 공개된 무료 복호화 툴을 통해 돈을 지불하지 않고도 파일을 복호화할 수 있게 되었습니다. 이 툴은 갠드크랩 버전 1, 4, 그리고 5~5.2로 암호화 된 파일에 사용할 수 있습니다. 유로폴은 이에 대해 아래와 같이 공지했습니다. "6월 17일, 갠드크랩 랜섬웨어 패밀리의 최신 버전용 새로운 복호화 툴이 www.nomoreransom.org에 무료로 공개되었습니다. 이 툴을 이용..

국내외 보안동향 2019. 6. 18. 14:43

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 이스트시큐리티는 2018년 갠드크랩(GandCrab) 랜섬웨어 History에 대해 정리하였습니다. ‘Trojan.Ransom.GandCrab’(이하 GandCrab 랜섬웨어)은 서비스형 랜섬웨어(RaaS)로, 2018년도를 대표하는 랜섬웨어라고도 말할 수 있습니다. 공개키 방식으로 파일을 암호화하는 랜섬웨어인 GandCrab은 스팸 메일과 익스플로잇 킷을 통해 처음 등장하였으며, 최근에는 변종들까지 발견되고 있습니다. GandCrab 랜섬웨어는 파일 암호화 기능을 수행하며, 암호화된 파일 뒤에 ‘.CRAB’ 확장자를 추가하는 특징을 가집니다. GandCrab의 구매자는 랜섬 수익을 6대 4로 나누는 ‘파트너 프로그램’ 조항에 동의해야하며, 대..

악성코드 분석 리포트 2019. 2. 1. 11:47

LockCrypt Ransomware Crew Started via Satan RaaS, Now Deploying Their Own Strain 올 6월부터, 한 사이버 범죄 그룹이 RDP 브루트포싱 공격을 통해 보호되지 않은 기업 서버들에 침투해 수동으로 LockCrypt 랜섬웨어를 설치하고 있는 것으로 나타났습니다. 보안 연구원들에 따르면, 이 공격자들은 미국, 영국, 남아프리카, 인도, 필리핀 등에 위치한 기업들을 공격했습니다. LockCrypt 갱, RDP 브루트 포싱 공격 이용해 LockCrypt 갱은 보통 하나의 서버로 침투해 가능한 많은 장비로 퍼지며, 각각의 시스템에서 수동으로 LockCrypt 랜섬웨어를 실행합니다. LockCrypt에 감염 되면 아래와 같은 이미지 및 랜섬 노트가 표시 ..

국내외 보안동향 2017. 11. 14. 13:41

Easy-to-Use Apps Allow Anyone to Create Android Ransomware Within Seconds 최근 해커들이 안드로이드에서 동작할 수 있는 서비스형 랜섬웨어(RaaS: Ransomware-as-a-service)를 판매하기 시작했습니다. 이로써 별다른 기술이 없는 사용자들도 손쉽게 자신들만의 랜섬웨어를 제작하여 유포할 수 있게 되었습니다. 누구나 다운로드가 가능하고 손쉽게 자신의 기기를 이용해 안드로이드 랜섬웨어를 생성할 수 있는 이 새로운 안드로이드 앱 덕분에 최악의 경우 앞으로 몇 달 동안 랜섬웨어 위협이 급격히 증가할 수도 있게 되었습니다. 최근 보안연구원들은 중국에서 인기있는 소셜 네트워킹 메시징 서비스의 광고를 통해 방문한 해킹 포럼에서 누구나 트로이목마 개..

국내외 보안동향 2017. 8. 28. 15:53

2017년 5월 12일, 전 세계적인 사이버 공격이 발생하여 크게 이슈가 되었습니다. 스스로를 워너크라이(WannaCry)라는 랜섬웨어로 칭하는 사이버 공격은 최신 제로데이를 이용하여 빠른 확산에 성공했습니다. 해외 보안 업체 시만텍은 랜섬웨어의 경우, 작년 한 해에만 매일 4,000건 이상의 공격이 있었다고 밝혔습니다. 이처럼 사이버 공격은 더욱 스마트해지며 그 파급력도 함께 커지고 있습니다. 워너크라이(WannaCry) 랜섬웨어는 전통적인 방식인 파일 암호화기능을 수행하지만, SMBv1 취약점과 전자메일을 이용한 방법이 추가된 형태입니다. SMBv1 제로 데이 공격은 445포트가 열려있을 경우 인터넷에 연결된 장치를 직접 공격할 수 있으며, 전자메일 피싱으로 악성코드가 실행되는 경우 로컬 망에서도 악..

전문가 기고 2017. 6. 27. 13:17

10분의 1수준, 저렴한 암호 해독 비용 요구하는 '박리다매'형 랜섬웨어 유포 중! 작년 말부터 국가 기관 및 기업, 심지어 국내 포털 사이트의 블로그 서비스 이용자를 대상으로 한 한국 맞춤형 비너스락커(VenusLocker) 랜섬웨어가 다양한 형태로 다수 유포되었습니다. ※ 관련 글 - 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼... 관계자 주의 필요 (▶자세히보기) - 확장자 숨겨 악성파일 열어보게 만드는 메일 유포... 고소장, 방 예약 문의 등으로 위장해 랜섬웨어 감염 (▶자세히보기) - 교육 일정표 위장한 '한국 맞춤형' 비너스락커 랜섬웨어 변종 국내 유포 중! (▶자세히보기) - 쇼핑몰에서 유출된 '고객 개인정보 리스트' 사칭한 변종 랜섬웨어 유포 중 (▶자세히보기) 그러던 중 최근 특..

악성코드 분석 리포트 2017. 5. 8. 17:19

안티 분석 기능을 구현한 저렴한 서비스형 랜섬웨어 발견, Karmen 랜섬웨어Karmen Ransomware, a cheap RaaS service that implements anti-analysis features Recorded Future의 전문가들이 저렴한 서비스형 랜섬웨어(RaaS)인 'Karmen 랜섬웨어'를 발견했습니다. 이 서비스를 구매하면 특정한 기술 없이 손쉽게 랜섬웨어를 생성할 수 있습니다. 구매자들은 감염된 시스템의 수, 벌어들인 수익, 악성코드의 업데이트 등을 확인할 수 있도록 구현된 대시보드 내 "Clients" 탭을 통해 감염된 시스템을 추적할 수 있습니다. Karmen RaaS는 $175로 매우 저렴하며, 구매자들은 랜섬머니의 가격과 랜섬머니 지불 기간을 설정할 수 있습니다..

국내외 보안동향 2017. 4. 20. 11:49