잉카인터넷 대응팀은 2021년 7월 23일부터 2021년 7월 29일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 “Keversen” 외 2건, 변종 랜섬웨어는 “LegionLocker” 외 2건이 발견됐다.
금주 랜섬웨어 관련 이슈로는 Egregor 랜섬웨어 대화 녹취록이 공개됐으며 Kaseya 측에서 “REvil” 랜섬웨어 디크립터를 획득했다고 알렸다. 또한, “LockBit” 랜섬웨어 v2.0 버전에서 기능이 추가됐고, “BlackMatter” 랜섬웨어를 사용하는 새로운 조직이 등장했다.
2021년 7월 23일
Keversen 랜섬웨어
파일명에 “.keversen” 확장자를 추가하고 “Recovery_Instructions.mht”라는 랜섬노트를 생성하는 “Keversen” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.
Egregor 랜섬웨어 대화 녹취록 공개
외신에 따르면 “Egregor” 측과 피해자가 상담하면서 나온 대화의 녹취록이 공개됐다. 이들은 피해자들과의 협상을 위한 채팅 방을 따로 만들어 운영했으며, 최근에는 꽤나 딱딱한 태도를 보였다고 한다. 이에 대해 IBM 측은 “Egregor” 운영자들이 피해자들에 대응에 대해 매뉴얼을 구축한 것 같다고 언급했다.
Kaseya - REvil 랜섬웨어 디크립터 획득
Kaseya 측이 제 3자로부터 “REvil” 랜섬웨어 디크립터를 획득했다고 알렸다. 해당 디크립터는 Emsisoft와 협력해 유효성 검사를 완료했으며, 현재 영향을 받은 고객들에게 배포하고 있다.
2021.07.26 - Kaseya - REvil 랜섬웨어 디크립터 획득
2021년 7월 25일
FancyLocker 랜섬웨어
파일명에 “.FancyLeaks” 확장자를 추가하고 [그림 2]의 랜섬노트를 생성하는 “FancyLocker” 랜섬웨어가 발견됐다.
2021년 7월 26일
LegionLocker 랜섬웨어
파일명에 “.[52자리 문자열]” 확장자를 추가하고 “LegionReadMe.txt”라는 랜섬노트를 생성하는 “LegionLocker” 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 작업 관리자를 무력화한다.
2021년 7월 27일
Ragnarok 랜섬웨어
파일명에 “.[랜덤 문자열].hela” 확장자를 추가하고 “!!Read_Me.[랜덤 문자열].html”라는 랜섬노트를 생성하는 “Ragnarok” 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고, 특정 프로세스의 실행을 차단한다.
2021년 7월 28일
LockBit 랜섬웨어 2.0 추가 기능
최근 “LockBit” 랜섬웨어 v2.0이 공개됐으며, 해당 랜섬웨어에 Active Directory 정책을 사용해 랜섬웨어를 배포하는 기능과 랜섬노트를 출력하는 기능이 추가됐다.
2021.07.30 - LockBit 랜섬웨어 2.0 추가 기능
2021년 7월 29일
Jeremy 랜섬웨어
파일을 암호화하지 않고 “How_To_Recover_My_Files.txt”라는 랜섬노트를 생성하는 “Jeremy” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 방화벽 사용을 해제한다. 또한, 특정 프로세스와 서비스의 실행을 종료 및 차단한다.
새로운 랜섬웨어 그룹 BlackMatter
최근 “BlackMatter” 랜섬웨어를 사용하는 조직이 발견됐다. 이들은 직접 데이터 유출 사이트를 운영하고 있으며, “DarkSide”, “REvil” 및 “LockBit” 랜섬웨어의 기능을 통합해 만들었다고 주장하고 있다.
2021.07.30 - 새로운 랜섬웨어 그룹 BlackMatter
'분석 정보 > 랜섬웨어 분석 정보' 카테고리의 다른 글
| [주간 랜섬웨어 동향] - 8월 2주차 (0) | 2021.08.13 |
|---|---|
| [주간 랜섬웨어 동향] – 8월 1주차 (0) | 2021.08.06 |
| [주간 랜섬웨어 동향] – 7월 3주차 (0) | 2021.07.23 |
| [주간 랜섬웨어 동향] – 7월 2주차 (0) | 2021.07.16 |
| 시스템 복원 (0) | 2021.07.15 |