Sabbath Ransomware target critical infrastructure in the US and Canada Sabbath(UNC2190로도 알려짐)라고 하는 새로운 랜섬웨어 그룹이 2021년 6월부터 미국과 캐나다의 주요 인프라를 노리고 있는 것으로 나타났습니다. Mandiant 연구원은 이 그룹이 Arcane and Eruption 그룹이 리브랜딩한 것이라 밝혔습니다. 연구원들은 또한 이 그룹이 작년에 ROLLCOAST 랜섬웨어를 배포했다고도 밝혔습니다. 2021년 9월, 보안 전문가들은 exploit.in 해킹 포럼에서 새로운 랜섬웨어의 파트너를 구인하는 게시물을 발견했습니다. 54BB47h(Sabbath)라는 새 그룹의 활동은 운영자가 사이트 및 블로그를 개설한 2021년 10월..

국내외 보안동향 2021. 12. 2. 09:00

New Memento ransomware switches to WinRar after failing at encryption 새로운 랜섬웨어 그룹인 Memento가 그들의 암호화 방법이 계속해서 보안 소프트웨어에 탐지된 후 파일을 암호로 보호된 압축파일 내에 잠그는 특이한 방법을 사용하기 시작한 것으로 나타났습니다. 이 그룹은 지난 달 활동을 시작해 피해자의 네트워크 접근하는데 VMware vCenter Server 웹 클라이언트의 취약점을 악용했습니다. vCenter 취약점은 'CVE-2021-21971'로 등록되었으며 심각도 점수 9.8(치명적)을 받은 인증되지 않은 원격 코드 실행 이슈입니다. 이 취약점으로 노출된 vCenter 서버의 TCP/IP port 443에 원격으로 접근 가능한 사람은 누구..

국내외 보안동향 2021. 11. 19. 09:00

Magniber ransomware gang now exploits Internet Explorer flaws in attacks Magniber 랜섬웨어 그룹이 인터넷 익스플로러 취약점 2가지와 악성 광고를 통해 사용자를 감염시키고 장치를 암호화하고 있는 것으로 나타났습니다. 공격에 악용된 인터넷 익스플로러 취약점 2가지는 CVE-2021-26411, CVE-2021-40444로 등록되었으며 모두 CVSS v3 심각도 점수 8.8점을 받았습니다. 첫 번째 취약점인 CVE-2021-26411은 2021년 3월 수정되었으며 특수 제작된 웹 사이트를 열람할 때 발생하는 메모리 손상 취약점입니다. 두 번째 취약점인 CVE-2021-40444는 악성 문서를 열 경우 IE의 렌더링 엔진에서 원격 코드 실행이 트리..

국내외 보안동향 2021. 11. 12. 09:00

TrickBot teams up with Shatak phishers for Conti ransomware attacks Shatak(TA551)로 알려진 공격자가 최근 ITG23 범죄 그룹(TrickBot, Wizard Spider로도 알려짐)과 협력해 타깃 시스템에 Conti 랜섬웨어를 배포하고 있는 것으로 나타났습니다. Shatak은 다른 악성코드 개발자와 협력하여 피해자가 악성코드를 다운로드하고 이에 감염되도록 하는 피싱 캠페인을 실행합니다. IBM X-Force의 연구원은 Shatak과 TrickBot이 2021년 7월부터 협력하기 시작했으며, 현재까지 캠페인이 지속되고 있는 것으로 보아 좋은 결과를 얻은 것으로 추측된다고 밝혔습니다. Cybereason은 기술 분석을 통해 서로 다른 두 공격자..

국내외 보안동향 2021. 11. 11. 09:00

BlackMatter ransomware moves victims to LockBit after shutdown BlackMatter 랜섬웨어 운영이 중단됨에 따라 기존 협력 파트너들이 지속적인 강탈을 위해 피해자를 경쟁작인 LockBit 랜섬웨어 사이트로 옮기고 있는 것으로 나타났습니다. 지난 3일, BlackMatter 랜섬웨어 그룹의 멤버들이 실종되고 법 집행 기관의 압박이 높아짐에 따라 운영을 중단한다는 뉴스가 발행되었습니다. 랜섬웨어 운영자는 협력 파트너가 피해자를 계속해서 강탈할 수 있도록 기존 감염 건을 위한 복호화 키를 받을 수 있도록 허용하고 있습니다. BleepingComputer는 BlackMatter의 인프라가 아직 활성화되어 있는 동안 협력 파트너가 기존 피해자를 LockBit 랜..

국내외 보안동향 2021. 11. 4. 14:00

The Toronto Transit Commission (TTC) hit by a ransomware attack 토론토의 교통 위원회(TTC)가 지난 금요일 시스템이 랜섬웨어에 감염되었다고 발표했습니다. 해당 공격은 목요일 밤에 시작되어 TTC의 운영을 방해했습니다. TTC가 어떤 랜섬웨어에 감염되었는지는 아직까지 공개되지 않았습니다. TTC의 대변인인 Stuart Green은 처음에는 이 공격이 대중교통 서비스에 큰 영향을 미치지 않았다고 밝혔지만, 금요일 이후 상황이 악화되었습니다. 해당 기관에서는 보도 자료를 발행해 아래와 같이 밝혔습니다. “금요일 정오에 해커들이 네트워크 서버에 대한 공격을 확대하기 전까지는 이 공격이 끼치는 영향은 미미했습니다.” 이 보안 사고는 기관의 내부 이메일 서버, W..

국내외 보안동향 2021. 11. 3. 14:00

HelloKitty ransomware gang also targets victims with DDoS attacks FBI가 HelloKitty 랜섬웨어 그룹 (FiveHands로도 알려짐)의 새로운 기능에 대해 플래시 경보를 발행했습니다. 경고에 따르면, 해당 랜섬웨어 공격자는 분산 서비스 거부(DDoS) 공격을 실행하고 있었습니다. “Hello Kitty/FiveHands 공격자는 보통 이중 갈취 기법을 통해 피해자를 공격적으로 협박했습니다. 피해자가 신속하게 대응하지 않거나 랜섬머니를 지불하지 않을 경우 공격자는 피해자 회사의 공개 웹사이트에 분산 서비스 거부(DDoS) 공격을 실행합니다.” 랜섬웨어 그룹은 랜섬머니 지불을 거부할 경우 피해자의 웹사이트에 DDoS 공격을 실행했습니다. HelloK..

국내외 보안동향 2021. 11. 2. 14:00

FBI: Ranzy Locker ransomware hit at least 30 US companies this year FBI가 지난 월요일 Ranzy Locker 랜섬웨어가 미국의 다양한 분야 회사 최소 30곳을 해킹했다고 밝혔습니다. FBI는 TLP: WHITE 플래시 경보를 통해 아래와 같이 밝혔습니다. "익명의 사이버 범죄자가 Ranzy Locker 랜섬웨어를 통해 2021년 7월 기준 미국 기업 30곳 이상을 해킹했습니다.” "피해자에는 주요 제조 부문의 건설 하위 부문, 정부 시설 부문의 학계 하위 부문, 정보 기술 부문, 운송 부문이 포함됩니다.” 이 플래시 경보는 CISA와 협력하여 발행되었으며, 보안 전문가가 이러한 랜섬웨어 공격 시도를 탐지 및 방어하는데 도움을 줄 수 있는 정보를 제..

국내외 보안동향 2021. 10. 27. 09:00