잉카인터넷 대응팀은 2021년 7월 02일부터 2021년 7월 08일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Docuspx" 외 5건, 변종 랜섬웨어는 "Sodinokibi" 외 1건이 발견됐다.
이중, "Ryuk" 랜섬웨어를 만들 수 있다고 주장하던 빌더가 “Chaos”로 이름을 변경하여 유포되고 있다. 또한, "Sodinokibi" 랜섬웨어 그룹이 Kaseya VSA 서버를 침해하는 제로데이 취약점을 악용해 파일을 암호화했으며 이를 빌미로 고액의 랜섬머니를 요구하고 있다.
2021년 7월 2일
Sodinokibi 랜섬웨어
"Sodinokibi" 랜섬웨어 그룹이 Keseya VSA 서버를 침해할 수 있는 제로데이 취약점을 악용해 파일을 암호화하기 시작했다. 이에 따라 CISA는 이번 공격에 대한 정보를 파악하고 있으며 조치를 취하는 중 이라고 공식적으로 발표했다. 또한, Kaseya 측은 사용중인 Kaseya VSA 서버를 종료하도록 권고했다.
2021년 7월 3일
Docuspx 랜섬웨어
파일명에 ".[Documents Files 확장자]spx" 확장자를 추가하고 랜섬노트를 생성하지 않는 "Docuspx" 랜섬웨어가 발견됐다.
Hive 랜섬웨어
파일명에 ".hive" 확장자를 추가하고 "HowToDecrypt.txt"라는 랜섬노트를 생성하는 "Hive" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.
2021년 7월 4일
Sodinokibi 랜섬웨어
파일명에 ".[랜덤 문자열]" 확장자를 추가하고 "[확장자]-readme.txt"라는 랜섬노트를 생성하는 "Sodinokibi" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고, 바탕화면의 배경을 변경한다.
2021년 7월 5일
WannaDie 랜섬웨어
파일을 암호화 하지않고 [그림 2]의 랜섬노트를 생성하는 "WannaDie" 랜섬웨어가 발견됐다.
랜섬웨어 빌더 이름 변경 (Chaos)
제작자가 "Ryuk" 랜섬웨어를 만들 수 있다고 주장했던 빌더의 이름을 "Chaos"로 변경했다.
Stop 랜섬웨어
파일명에 ".pooe" 확장자를 추가하고 "_readme.txt"라는 랜섬노트를 생성하는 "Stop" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버에 연결을 시도한다.
2021년 7월 7일
JenusLocker 랜섬웨어
파일명에 ".HACKED" 확장자를 추가하고 [그림 4]의 랜섬노트를 생성하는 "JenusLocker" 랜섬웨어가 발견됐다.
VNHack 랜섬웨어
파일명에 ".vn_os" 확장자를 추가하고 [그림 5]의 랜섬노트를 생성하는 "VNHack" 랜섬웨어가 발견됐다.
'분석 정보 > 랜섬웨어 분석 정보' 카테고리의 다른 글
| [주간 랜섬웨어 동향] – 7월 2주차 (0) | 2021.07.16 |
|---|---|
| 시스템 복원 (0) | 2021.07.15 |
| [주간 랜섬웨어 동향] – 6월 5주차 (0) | 2021.07.02 |
| [주간 랜섬웨어 동향] – 6월 4주차 (0) | 2021.06.25 |
| [주간 랜섬웨어 동향] – 6월 3주차 (0) | 2021.06.18 |