LockBit ransomware automates Windows domain encryption via group policies LockBit 2.0 랜섬웨어의 새로운 버전이 활성 디렉토리 그룹 정책을 사용하여 윈도우 도메인 암호화 과정을 자동화한 것으로 나타났습니다. LockBit 랜섬웨어는 2019년 9월 서비스형 랜섬웨어의 형태로 시작되었으며, 네트워크를 침해 후 장치를 암호화할 공격자를 모집했습니다. 모집된 제휴 파트너는 랜섬머니의 70~80%를 가져가고, 나머지는 LockBit 개발자가 가져갑니다. LockBit의 새로운 버전에는 고급 기능 다수가 포함되어 있었으며, 이 중 2가지는 아래에 설명되어 있습니다. 네트워크 암호화에 그룹 정책 업데이트 사용해 LockBit 2.0은 과거 다른 랜섬..

국내외 보안동향 2021. 7. 28. 09:00

HelloKitty ransomware gang targets vulnerable SonicWall devices 이번 주, SonicWall이 단종된 일부 기기를 노리는 랜섬웨어 캠페인에 대해 경고하는 긴급 보안 경고문을 발표했습니다. 공격자는 SMA(Secure Mobile Access) 100 시리즈 및 SRA(Secure Remote Access) 제품군 내 패치되지 않은 기기를 공격할 수 있습니다. “SonicWall은 신뢰할 수 있는 타사와의 협업을 통해, 현재 공격자가 훔친 자격 증명을 이용하는 랜섬웨어 캠페인에서 단종 상태이며 패치되지 않은 8.x 펌웨어를 사용하는 SMA(Secure Mobile Access) 100 시리즈 및 SRA(Secure Remote Access) 제품을 적극적으..

국내외 보안동향 2021. 7. 19. 14:00

HelloKitty ransomware now targets VMware ESXi servers HelloKitty 랜섬웨어의 리눅스 변종이 VMware ESXi 시스템을 노린 공격에 사용된 것으로 나타났습니다. 이 랜섬웨어 그룹은 가상화 플랫폼을 주로 사용하는 기업을 타깃으로 운영을 확대하는 것을 목표로 합니다. VMware ESXi 시스템을 노리는 공격자는 피해자에게 상당한 영향을 미치며, 가능한 많은 가상 머신을 암호화하는 것이 가능합니다. MalwareHunterTeam의 연구원들은 VMware ESXi 서버를 공격하고, 해당 위치에 호스팅되는 가상 머신을 암호화하도록 설계된 HelloKitty 랜섬웨어의 ELF64 버전 다수를 발견했습니다. 이 소식을 전한 Bleeping Computer는 새로..

국내외 보안동향 2021. 7. 16. 14:00

Kaseya: Roughly 1,500 businesses hit by REvil ransomware attack Kaseya는 Sodinokibi 공급망 랜섬웨어 공격이 회사의 VSA 온-프레미스 제품을 사용하는 고객 약 60명의 시스템을 침해했다고 밝혔습니다. 또한 회사는 현재까지 Kaseya 원격 관리 툴을 사용하여 네트워크를 관리하는 다운 스트림 피해자가 최대 1,500명에 달한다고 밝혔습니다. Kaseya는 보도자료를 통해 아래와 같이 밝혔습니다. “이 공격은 제한적인 영향을 미쳤으며, Kaseya 고객 3만 5천곳 이상 중 약 50곳만 공격을 받았습니다. Kaseya의 고객은 로컬 및 중소기업 약 80만~100만 곳을 관리하고 있지만, 이 중 800~1,500곳 만이 침해되었습니다.” 이 회사..

국내외 보안동향 2021. 7. 7. 09:00

2021년 7월 2일, Sodinokibi(REvil) 랜섬웨어 해킹 조직이 제로데이 취약점을 악용하여 미국 IT관리용 솔루션 제공 업체인 Kaseya의 VSA(원격 모니터링 및 관리 소프트웨어) 서버를 악용하여 랜섬웨어를 배포하였습니다. ▶ 관련 포스팅 보기 이번 공격으로 인해 미국을 비롯한 영국, 남아프리카 공화국 등 최소 17개국에서 피해가 발생한 것으로 추정되고 있습니다. 스위스의 가장 큰 슈퍼마켓 체인인 Coop 역시 이번 공격의 영향을 받아 800여개의 체인점 영업을 중단하였습니다. 이번 CISA-FBI는 Kaseya VSA 공급망 랜섬웨어 공격의 영향을 받는 사용자들에게 위험 완화 조치를 공개하였습니다. 1) Kaseya VSA Detection Tool 다운로드 2) 조직에서 사용하는 모든..

국내외 보안동향 2021. 7. 6. 16:49

QNAP fixes critical bug in NAS backup, disaster recovery app 대만의 NAS 제조업체인 QNAP이 공격자가 취약한 NAS 기기를 해킹하는데 악용할 수 있는 치명적인 보안 취약점을 수정했습니다. TXOne IoT/ICS Security Research Labs의 연구원인 Ta-Lun Yen이 발견한 부적절한 접근 제어 취약점은 CVE-2021-28809으로 등록되었으며, QNAP의 재해 복구 및 데이터 백업 솔루션인 HBS 3 Hybrid Backup Sync에 존재합니다. 이 보안 취약점은 소프트웨어에서 공격자가 시스템 리소스에 대한 접근 권한을 얻는 것을 적절히 제한하지 못했기 때문에 발생합니다. 이로써 권한 상승, 원격 명령 실행, 권한 없이 중요한 정보..

국내외 보안동향 2021. 7. 6. 14:00

The builder for Babuk Locker ransomware was leaked online Babuk Locker 랜섬웨어의 빌더가 온라인에 유출되었으며, 공격자들이 이를 통해 자체 랜섬웨어 버전을 만들고 있다고 The Record에서 보도했습니다. Babuk Locker 운영자는 지난 4월 워싱턴 DC 경찰서에 대한 공격 이후 운영을 중단했습니다. 전문가들은 미 경찰서를 공격 및 협박한 이 그룹의 작전이 잘못된 것이었다고 밝혔습니다. 해당 랜섬웨어 그룹은 워싱턴 DC, 메트로폴리탄 경찰서에 침입해 파일을 암호화하고 랜섬머니로 4백만 달러를 요구했습니다. 당시 Babuk 랜섬웨어는 경찰 및 정보원의 개인 데이터를 포함한 파일 250GB 상당을 훔쳤다고 밝혔습니다. 5월 말, Babuk 랜섬웨..

국내외 보안동향 2021. 6. 29. 09:00

Wormable bash DarkRadiation Ransomware targets Linux distros and docker containers Bash 스크립트로 작성되었으며 리눅스(Red Hat/CentOS/Debian)와 Docker 클라우드 컨테이너를 노리는 새로운 랜섬웨어인 DarkRadiation이 발견되었습니다. 이 랜섬웨어는 OpenSSL의 AES 알고리즘과 CBC 모드를 사용하여 파일을 암호화하고, C2 통신에 Telegram의 API를 사용합니다. 또한 랜섬웨어는 파일을 암호화한 후 파일 이름에 방사성 기호인 “☢”를 추가합니다. 전문가들은 이 공격 체인 컴포넌트의 대부분이 VirusTotal 탐지율이 낮다는 사실을 발견했습니다. 트위터 사용자인 @r3dbU7z는 랜섬웨어 정보와 함..

국내외 보안동향 2021. 6. 23. 09:32