안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 통칭 ‘WastedLocker’라 불리는 랜섬웨어는 기업을 대상으로 공격이 이루어지는 것으로 알려져 있습니다. 실제 지난달 7월 말 스마트워치와 웨어러블 기기 제조사인 가민(Gamin)이 랜섬웨어 공격을 받아 서비스 일부를 중단된 사례가 있습니다. 또한 이 랜섬웨어를 제작한 그룹은 뛰어난 기술력을 소유한 ‘Evil Corp’ 또는 ‘TA505’로 해킹 그룹의 소행으로 알려져 있습니다. [그림] 이메일 화면 이 악성코드는 로컬에 존재하는 파일을 암호화시켜 감염자에게 파일 복호화를 대가로 돈을 받는 랜섬웨어의 한 종류입니다. 파라미터를 통하여 기능을 구별하여 실행하고 NTFS의 ADS(Alternate Data Stream)을 이용하여 악성코..

악성코드 분석 리포트 2020. 8. 18. 09:00

WastedLocker ransomware abuses Windows feature to evade detection WastedLocker 랜섬웨어가 보안 소프트웨어의 탐지를 막기 위해 윈도우 메모리 관리 기능을 악용하고 있는 것으로 나타났습니다. WastedLocker가 탐지를 피하는 방법을 알아보기 전에, 먼저 안티 랜섬웨어 솔루션이 랜섬웨어를 어떻게 탐지하는지 이해가 필요합니다. 안티 랜섬웨어 솔루션은 랜섬웨어가 파일을 암호화할 때 일반적으로 사용하는 파일 시스템 콜을 모니터링합니다. 안티 랜섬웨어 솔루션의 일부로, 보안 소프트웨어는 파일 시스템과 실시간으로 교류하는 시스템 콜을 모니터링하도록 허용하는 미니필터 드라이버를 등록합니다. 이 드라이버가 파일을 열고, 파일에 쓰고 파일을 닫는 수많은 순..

국내외 보안동향 2020. 8. 5. 09:53

New WastedLocker Ransomware distributed via fake program updates 러시안 사이버범죄 그룹인 Evil Corp가 새로운 랜섬웨어인 WastedLocker를 사용하기 시작한 것으로 나타났습니다. 이 랜섬웨어는 기업을 노린 타깃 공격에 사용됩니다. Indrik Spider라고도 알려진 Evil Corp 범죄 그룹은 ZeuS 봇넷의 제휴 파트너로 시작되었습니다. 시간이 지남에 따라, 이들은 피싱 이메일을 통해 뱅킹 트로이목마와 Dridex 다운로더를 배포하는데 집중했습니다. 이들의 공격이 진화함에 따라 그룹은 기업 네트워크를 노린 타깃 공격에서 Dridex 악성코드를 통해 배포되는 BitPaymer라는 랜섬웨어를 만들었습니다. NCC 그룹의 Fox-IT 보안 연..

국내외 보안동향 2020. 6. 24. 10:12