Heart attack: Ransomware encrypts Australian cardiac clinic’s patient files 호주 멜버른의 심장 병원 카브리니(Cabrini)가 1월 랜섬웨어 공격을 받은 이후 약 1만 5000명의 환자 의료 기록에 접근하지 못하고 있습니다. The Age 뉴스에 따르면 암호화된 자료 복구를 위해 암호 화폐를 지불했지만, 일부 파일은 복구되지 않았으며, 이 중에는 환자의 신상 정보 및 신분 도용에 사용될 수 있는 민감한 의료 기록이 포함돼 있다고 밝혔습니다. 일부 환자들은 자신의 의료 기록이 분실되었지만 어떤 설명도 받지 못했다고 말했으며, 몇몇 사람들은 의료 기록 없이 진료를 위해 병원을 방문했습니다. 멜버른 심장 병원의 대변인은 이 문제를 해결하기 위해 호주..

국내외 보안동향 2019. 2. 22. 17:09

안녕하세요? 이스트시큐리티입니다. 최근 Outsider로 명명된 랜섬웨어가 새롭게 등장해 사용자의 각별한 주의가 필요합니다. Outsider 랜섬웨어는 확장자에 관계없이 모든 파일을 암호화하고 특정 확장자에 따라 암호화 방식을 달리합니다. 또한, 사용자 시스템뿐만 아니라 사용자시스템과 연결된 네트워크 드라이브까지 검사해 감염시키는 것이 특징입니다. 공격자는 파일 복호화 대가로 $900의 비트코인을 요구하며 금전적인 이득을 노립니다. 따라서, 본 보고서에서는 Outsider 랜섬웨어의 행위와 특징에 대해서 알아보고자 합니다. 악성코드 상세 분석 Outsider랜섬웨어는 사용자의 시스템 언어를 확인하여 암호화 여부를 결정합니다. 다음과 같은 언어를 사용 중일 경우에는 암호화를 진행하지 않으며, 이 외의 언어..

악성코드 분석 리포트 2019. 1. 24. 15:44

안녕하세요? 이스트시큐리티입니다. 2018년 4분기 알약을 통해, 총 33만2179건의 랜섬웨어 공격이 차단된 것으로 확인되었습니다. 이번 통계는 공개용 알약의 ‘랜섬웨어 행위기반 사전 차단 기능’을 통해 차단된 공격수를 기준으로 집계되었으며, 통계에 따르면 2018년 4분기에는 알약을 통해 랜섬웨어 공격이 총 33만 2179건 차단되었으며, 이를 일간 기준으로 환산하면 일평균 약 3,691건의 랜섬웨어 공격이 차단된 것으로 확인되었습니다. 이는 일반 사용자를 대상으로 제공하는 공개용 알약의 랜섬웨어 행위기반 차단 기능을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 공격까지 포함하면 전체 공격수는 더욱 많다고 볼 수 있겠습니다. 이번 4분기 역시 갠드크랩(GandCrab) 랜섬웨어가 업데이트를 거듭하..

전문가 기고 2019. 1. 14. 11:00

안녕하세요? 이스트시큐리티입니다. 최근 Facebook 아이콘으로 위장한 랜섬웨어가 등장해 사용자의 각별한 주의가 필요합니다. Facebook 악성코드는 히든티어(Hidden Tear) 오픈소스를 기반으로 제작된 랜섬웨어로, 사용자의 중요 파일을 암호화 한 뒤 ‘.Facebook’ 확장자를 추가합니다. 공격자는 이를 복호화해주는 대가로 0.29 비트코인을 요구하며 금전적인 이득을 목적으로 하고 있습니다. 본 보고서에서는 Facebook으로 위장한 랜섬웨어 행위와 이를 예방하기 위한 방법을 알아보고자 합니다. 악성코드 상세 분석 이번에 발견된 Facebook 랜섬웨어는 다음과 같이 실제 Facebook 아이콘을 사용합니다. 또한 파일 속성에 Facebook Official이라는 설명을 사용하면서 정상 파일..

악성코드 분석 리포트 2018. 12. 13. 21:21

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다. 과거 비너스락커(VenusLocker) 랜섬웨어를 뿌렸던 조직이 지난 11월 15일 입사지원서를 사칭해 갠드크랩(GandCrab) v5.0.4 랜섬웨어를 한국에 대량으로 유포하고 있는 내용을 공개한 바 있습니다. 동일한 조직이 지난 주말부터 한국에서 개발된 'Berryz WebShare (베리즈 웹쉐어)' 파일공유 서버를 구축해 또 다른 갠드크랩 v5.0.4 변종을 유포하고 있어 각별한 주의가 요망됩니다. [그림 1] 베리즈 웹쉐어 서버로 유포 중인 갠드크랩 랜섬웨어 화면 ESRC에서는 해당 위협조직이 지난 주 이미 해당 서버를 구축하고 있다는 사실을 확인해, 지속적으로 공격자를 추적 감시하고..

악성코드 분석 리포트 2018. 11. 19. 13:41

CommonRansom Ransomware Demands RDP Access to Decrypt Files 다소 특별한 요청을 하는 새로운 랜섬웨어인 CommonRansom이 발견 되었습니다. 이들은 파일을 복호화 하고자 하는 피해자에게 지불을 받은 후 해당 컴퓨터의 원격 데스크탑 서비스(RDP)를 오픈하고 어드민 크리덴셜을 보내도록 요구합니다. CommonRansom은 피해자가 랜섬노트와 암호화 된 파일을 ID Ransomware 서비스에 업로드 한 후, 보안 연구원인 Michael Gillespie가 발견했습니다. 이는 피해자의 파일을 암호화한 후 [old@nuke.africa].CommonRansom 확장자를 붙입니다. 이후 DECRYPTING.txt라는 랜섬노트를 생성합니다. 내용은 아래와 같습니..

국내외 보안동향 2018. 10. 31. 16:38

안녕하세요? 이스트시큐리티입니다. 최근 노스캐롤라이 주 잭슨빌에 위치한 수도사업소에 랜섬웨어 공격이 발생하여 시스템 운영이 마비되었습니다. 이 공격에 사용된 악성코드는 Ryuk 랜섬웨어로 밝혀졌습니다. 해당 랜섬웨어는 올해 초 유포되었던 Hermes 랜섬웨어의 변종으로 많은 유사성을 가집니다. 따라서, 본 보고서에서는 Ryuk 랜섬웨어의 악성 행위와 이를 예방하기 위한 방법에 대해 적고자 합니다. 악성코드 상세 분석 1. 프로세스 인젝션 사용자로부터 감염 사실을 은폐하기 위해 실행 중인 프로세스 중 임의로 선택하여 파일 암호화를 수행하는 코드를 인젝션합니다. 이 과정에서 ‘csrss.exe’, ‘explorer.exe’, ‘lsaas.exe’는 제외됩니다. 이는 시스템 안정성과 인젝션을 통한 탐지를 우회..

악성코드 분석 리포트 2018. 10. 23. 17:57

안녕하세요? 이스트시큐리티입니다. 올해 초 외국에서 스팸 메일과 익스플로잇 킷을 통해 ‘Trojan.Ransom.GandCrab’(이하 GandCrab 랜섬웨어)이 처음 등장하였으며, 최근 국내에서도 GandCrab 변종들이 다수 발견되고 있습니다. GandCrab 랜섬웨어는 파일 암호화 기능을 수행하며, 암호화된 파일 뒤에 ‘.CRAB’ 확장자를 추가하는 점이 특징입니다. 따라서 본 보고서에서는 GandCrab 랜섬웨어를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 중복 실행 방지중복 실행 방지를 위해 뮤텍스 값을 ‘Global\pc_group=(소속 그룹)&ransom_id=(사용자 ID)’으로 생성합니다. 만일 동일한 프로세스가 실행 중인 경우 종료합니다. pc_group과 ransom_id ..

악성코드 분석 리포트 2018. 5. 23. 09:55