New FuxSocy Ransomware Impersonates the Notorious Cerber 현재는 활동을 중단했지만 악명 높았던 Cerber 랜섬웨어와 매우 유사하게 행동하는 새로운 랜섬웨어인 FuxSocy가 발견되었습니다. MalwareHunterTeam이 발견한 이 랜섬웨어는 Mr. Robot TV 시리즈의 FSociety 해킹 그룹에서 따온 이름인 ‘FuxSocy Encryptor’를 사용하고 있었습니다. 다른 랜섬웨어처럼, FuxSocy 또한 사용자의 파일을 암호화한 후 복호화 툴을 주는 대가로 랜섬 머니를 요구합니다. 이 랜섬웨어의 흥미로운 점은 외부를 Cerber 랜섬웨어와 매우 유사하게 디자인했다는 것입니다. 또한 해당 랜섬웨어의 내부 중 일부분도 차용하였습니다. Cerber와의 ..

국내외 보안동향 2019. 10. 29. 09:08

US Government website was hosting a JavaScript downloader delivering Cerber ransomware 보안 연구원들이 지난 주 미국 정부 웹사이트가 Cerber 랜섬웨어를 배포하는데 사용 된 JavaScript를 호스팅한 것을 발견했습니다. 연구원들은 “미 정부의 웹사이트에서 호스팅 된 JavaScript 멀웨어는 C&C 서버에 연결하는 powershell을 실행했다.”고 밝혔습니다. 이 웹사이트는 난독화 된 PowerShell을 포함한 JavaScript가 들어있는 .zip 압축 파일을 호스팅 했습니다. 이 PowerShell은 Cerber 실행파일인 gif 파일을 다운로드 합니다. 이 다운로더는 지난 수요일 발견 되었으며, 몇 시간 내에 악성 코드..

국내외 보안동향 2017. 9. 5. 10:14

Cerber Ransomware Evolves Again, Now Steals From Bitcoin Wallets Cerber 랜섬웨어는 가장 빠르게 진화하는 랜섬웨어 패밀리들 중 하나입니다. 최근 Cerber 랜섬웨어는 가상화폐를 훔치는 루틴을 추가한 형태로 진화하였으며, 이로서 공격자들은 일석 이조의 효과를 누리게 되었습니다. 하지만 Cerber의 일부분은 변경되지 않았으며, 여전히 이메일 첨부파일을 통해 유포되고 있습니다. Cerber랜섬웨어는 3개(Bitcoin Core 지갑, Electrum, Multibit)의 가상화폐 지갑 파일을 노립니다. 아래의 파일들을 훔치는 방식으로 작업을 수행합니다. wallet.dat (Bitcoin)*.wallet (Multibit)electrum.dat (El..

국내외 보안동향 2017. 8. 8. 15:55

알약 ‘2016년 랜섬웨어 동향 결산’ 발표… 시간당 랜섬웨어 공격 450회↑ 안녕하세요. 알약입니다.2016년 한 해를 정리하며, 올 한해 랜섬웨어 동향 결산을 전해 드립니다. 올해 1월부터 12월 현재까지 알약을 통해 차단된 랜섬웨어 공격은 총 3,974,658건으로 집계되었습니다. 이는 알약의 행위기반 랜섬웨어 차단 기능을 통해 1시간에 약 454건의 공격이 차단된 것으로, 알약을 사용하지 않는 PC에 대한 공격까지 감안할 경우 올 한해 랜섬웨어 관련 보안 위협이 매우 심각한 수준으로 나타났다고 풀이할 수 있습니다. 또한 2016년 알약에 새롭게 등록된 신·변종 랜섬웨어 샘플은 총 28,515건으로, 월평균 2,345건의 새로운 랜섬웨어가 출현하는 등 랜섬웨어 종류와 공격 방식 역시 빠른 속도로 다..

이스트시큐리티 소식 2016. 12. 26. 15:33

새로운 Cerber 랜섬웨어 4.0 버전, 온라인에서 판매되고 멀버타이징 방식으로 배포돼New Cerber Ransomware v4.0 Sold Online and Deployed via Malvertising Campaigns 최근 버전 4.0으로 업데이트된 Cerber 랜섬웨어가 사이버 범죄 언더그라운드 포럼에서 판매되고 있는 것으로 나타났습니다. Locky와 CryptXXX와 같이, Cerber는 현재 가장 활동적인 랜섬웨어 위협 중 하나입니다. 이는 랜섬웨어의 서명을 변경하고, 보안 소프트웨어의 탐지를 우회하기 위한 운영 모드 변경을 위해 지속적으로 업데이트되고 있습니다. Cerber, 지난 3개월 동안 주요 업데이트 내려받는 것으로 나타나 2016년 초 공개된 Cerber는 버전 1.0을 유지하..

국내외 보안동향 2016. 10. 14. 16:43

Cerber 랜섬웨어 v2 발견... 더 이상 복호화 불가Cerber Ransomware v2 Spotted Online, Is Now Undecryptable 지난달 가장 활동이 왕성했던 랜섬웨어인 Cerber가 지난주 업데이트되었습니다. 공격자들은 사용자가 무료로 복호화할 수 있었던 기존 툴을 무력화시켰습니다. 2016년 초에 발견된 Cerber는 몇 개의 언어로 '말하는' 기능을 가진 랜섬웨어입니다. 시간이 흘러, 해당 랜섬웨어는 근래 가장 많이 보이는 위협 중 하나가 되었습니다. 그 이유로는 보안 연구원들이 이를 해킹하려는 시도나 노력을 하지 않았고, 범죄자들이 이를 전보다 더욱 신뢰하기 시작했기 때문입니다. 몇 주 전, 트렌드마이크로가 Cerber를 포함한 몇 개의 랜섬웨어 패밀리로 인해 암호화..

국내외 보안동향 2016. 8. 9. 09:14

MS 워드 매크로 사용 문서(.docm) 이용한 Locky 랜섬웨어 주의! Microsoft Word 매크로 사용 문서(.docm)를 이용한 Locky 랜섬웨어가 국내에 유포되고 있습니다. 공격자는 이메일 차단 솔루션의 차단로직을 우회하기 위해 DOC 파일이 아닌 DOCM 파일을 이용하고 있습니다. DOCM파일(Word Open XML Macro-Enabled Document file)은 오피스 2007부터 도입된 파일 확장자로, 해당 문서에 매크로가 포함되어 있다는 것을 의미합니다. Locky 랜섬웨어의 경우 미국, 일본, 중국 등 해외에서 온 송장(Invoice)나 결제 등을 사칭한 doc, xls 문서에 악의적 코드로 작성된 매크로를 포함시켜 사용자로 하여금 랜섬웨어 다운로드 및 실행을 유도하고 있..

악성코드 분석 리포트 2016. 7. 7. 16:12

말하는 랜섬웨어(Cerber) 변종 이메일로 국내 유입 확인 안녕하세요. 알약입니다. 국내 불특정 다수의 기업 이용자를 대상으로 JS 스크립트 파일을 첨부해 유포했던 Locky(락키) 랜섬웨어 유포 방식과 유사하게 JSE 스크립트 파일을 이용한 Cerber(케르베르) 랜섬웨어 변종이 국내에 새롭게 전파되고 있습니다. 이에 각별한 주의와 보안 강화를 당부 드립니다. 물론 JS파일을 통한 유포도 계속 이어지고 있는 상태입니다. ▲ 이메일 첨부파일로 유입된 랜섬웨어 화면 국내에 새로 유입된 ‘Cerber’ 랜섬웨어 변종은 이메일에 압축파일을 첨부하며, 압축내부에는 JSE 스크립트가 포함되어 있습니다. 이용자가 압축을 해제하고 무심코 JSE 파일을 클릭하면 악의적인 스크립트 명령을 통해 해외 서버에서 Cerbe..

악성코드 분석 리포트 2016. 7. 5. 14:55