New ‘Cheers’ Linux ransomware targets VMware ESXi servers 새로운 랜섬웨어인 'Cheers'가 취약한 VMware ESXi 서버를 노리기 시작한 것으로 나타났습니다. VMware ESXi는 전 세계 대규모 조직에서 흔히 사용하는 가상화 플랫폼으로, 암호화될 경우 기업 운영에 심각한 타격을 입습니다. 많은 랜섬웨어 그룹이 과거 VMware ESXi 플랫폼을 노렸으며, 최근에는 LockBit 및 Hive또한 이를 노렸습니다. Cheers 랜섬웨어는 Trend Micro의 연구원이 발견했으며, 새로운 변종은 'Cheerscrypt'라 명명되었습니다. 감염 및 암호화 공격자가 VMware ESXi 서버를 해킹하면, 암호화기를 실행해 실행 중인 가상 머신을 자동으로 열..

국내외 보안동향 2022. 5. 26. 09:00

New Chaos Ransomware Builder Variant "Yashma" Discovered in the Wild 사이버 보안 연구원들이 Chaos 랜섬웨어 라인의 최신 버전인 Yashma에 대한 자세한 정보를 공개했습니다. 블랙베리의 연구 및 인텔리전스 팀은 보고서를 통해 아래와 같이 밝혔습니다. "Chaos 랜섬웨어 빌더는 실제 공격에서 발견된지 1년 밖에 되지 않지만, Yashma는 이 악성코드의 6번째 버전(v6.0)이라 주장하고 있습니다." Chaos는 2021년 6월 9일 언더그라운드 포럼에서 등장한 커스텀 랜섬웨어 빌더로, 겹치는 부분이 발견되지 않았음에도 Ryuk의 .NET 버전이라 거짓으로 홍보했습니다. 악성코드가 판매용으로 제공될 경우 모든 공격자가 빌더를 구입해 자체 랜섬웨어..

국내외 보안동향 2022. 5. 25. 09:00

REvil ransomware returns: New malware sample confirms gang is back 러시아와 미국 사이의 긴장이 고조되고 있는 가운데, 악명 높은 REvil 랜섬웨어가 다시 활동을 재개했습니다. 새로운 버전은 새로운 인프라와 개선된 암호화기를 통해 표적화된 공격이 가능해졌습니다. 지난 10월 법 집행 기관이 REvil 랜섬웨어의 Tor 서버를 압수한 후 러시아의 법 집행 기관이 그룹의 멤버를 체포하여 활동을 중단했습니다. 하지만, 러시아는 우크라이나 침공 이후 미국이 REvil 그룹에 대한 협상 과정을 포기하고 관련된 통신 채널을 폐쇄했다고 밝힌 바 있습니다. 다시 살아난 REvil의 Tor 사이트 이후 얼마 지나지 않아, 기존 REvil의 Tor 인프라가 다시 작동하..

국내외 보안동향 2022. 5. 2. 09:00

Conti ransomware operations surge despite the recent leak Secureworks의 연구원들이 러시아에 기반을 둔 공격자인 Gold Ulrick으로 추적되는 Conti 랜섬웨어 그룹이 최근 내부 활동에 대한 데이터가 유출되었음에도 불구하고 여전히 계속해서 활동하고 있다고 밝혔습니다. 이 그룹의 활동은 2021년 정점을 찍었던 수준으로 되돌아갔습니다. 해당 그룹은 이들의 통신, 소스코드, 운영 세부 정보가 공개된 것에 대해 신속히 대응했습니다. Secureworks Conter Threat Unit(CTU)에서는 아래와 같이 밝혔습니다. "2022년 2월 Conti의 누출 사이트에 등록된 피해자의 수가 증가했습니다. 2월 27일, 트위터 계정 @ContiLeaks..

국내외 보안동향 2022. 4. 28. 14:00

Hive ransomware uses new 'IPfuscation' trick to hide payload 연구원들이 Hive 랜섬웨어가 IPv4 주소와 Cobalt Strike 비컨 다운로드로 이어지는 변환을 포함한 새로운 난독화 기술을 사용한다는 것을 발견했습니다. 코드 난독화는 공격자가 탐지를 피하기 위해 인간 또는 보안 소프트웨어가 코드의 악의적인 특성을 발견할 수 없도록 돕습니다. 난독화에는 장단점이 다른 여러 방법이 있지만, Hive 랜섬웨어 관련 사고를 대응한 결과 이들이 새롭고 은밀한 방법을 찾고 있음을 알 수 있었습니다. Sentinel Labs의 연구원들은 새로운 난독화 기술인 "IPfuscation"에 대한 보고를 공개했습니다. 이는 간단하지만 똑똑한 방법이 실제 악성코드를 배포하는..

국내외 보안동향 2022. 3. 31. 14:00

Free decryptor released for TrickBot gang's Diavol ransomware 사이버 보안 회사인 Emsisoft에서 Diavol 랜섬웨어에 피해를 입은 사용자가 돈을 지불하지 않아도 파일을 복구할 수 있도록 무료 복호화 툴을 공개했습니다. Diavol 랜섬웨어의 피해자는 Emsisoft의 서버에서 무료 툴을 다운로드 후 사용 가이드[PDF]를 참고하여 데이터를 복호화할 수 있습니다. Emsisoft는 아래와 같이 설명했습니다. "복호화 툴은 암호화된 파일 하나와 원본 파일 한 쌍이 필요합니다. 이를 통해 나머지 데이터를 복호화할 수 있는 암호화 키를 재구성해냅니다.” "복호화 툴은 복호화할 파일의 위치를 디폴트로 현재 연결된 드라이브 및 네트워크 드라이브로 설정합니다.”..

국내외 보안동향 2022. 3. 21. 09:00

Free decryptor released for HermeticRansom victims in Ukraine Avast에서 지난 10일 동안 우크라이나 시스템을 노린 타깃형 공격에 사용된 HermeticRansom 랜섬웨어에 대한 복호화 툴을 공개했습니다. 해당 복호화 툴은 Avast의 웹사이트에서 무료로 다운로드 가능하며, 우크라이나 시민이 데이터를 빠르고 안정적으로 복구할 수 있도록 합니다. 지난 2월 23일, ESET 연구원은 러시아 군대가 우크라이나를 침공하기 불과 몇 시간 전 HermeticRansom 배포의 첫 징후를 확인하였습니다. 취약한 변종의 미끼 해당 랜섬웨어 변종은 컴퓨터 웜인 HermeticWizard와 함께 배포되었으며, 금전을 갈취하기 보다 데이터 와이퍼 공격의 미끼 역할을 했..

국내외 보안동향 2022. 3. 4. 09:00

Ukrainian researcher leaked the source code of Conti Ransomware 최근 한 우크라이나 연구원이 Conti 랜섬웨어 작업과 관련된 내부 채팅 메시지 60,694건을 유출시켰습니다. 그는 Conti 그룹의 데이터베이스 XMPP 채팅 서버에 접근이 가능했던 것으로 나타났습니다. Conti 랜섬웨어는 우크라이나를 공격하는 러시아 정부를 지지한다는 공지를 게시한 적이 있습니다. 따라서 Conti랜섬웨어에 대한 공격 및 데이터 유출은 러시아를 지원하는 운영진에 대한 보복으로 보입니다. 하지만 Conti의 파트너 중 다수가 우크라이나 그룹이라는 점을 고려할 때, 해당 공격은 그룹의 운영에 상당한 영향을 미칠 것입니다. 데이터를 유출한 연구원은 더 많은 데이터 덤프를 공..

국내외 보안동향 2022. 3. 3. 14:00