잉카인터넷 대응팀은 2021년 9월 3일부터 2021년 9월 9일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Leaks"외 3건, 변종 랜섬웨어는 "WannaCrypt" 1건이 발견됐다.
금주 랜섬웨어 관련 이슈로는 “Conti” 랜섬웨어 조직의 플레이북 번역본이 공개됐고, 이들 조직이 ProxyShell 취약점을 사용해 Microsoft Exchange 서버를 침해한 정황이 발견됐다. 또한, “Babuk” 랜섬웨어의 소스 코드가 러시아어를 사용하는 다크웹 포럼에 공개된 이슈가 있었다.
2021년 9월 3일
Conti 랜섬웨어 플레이북 번역본 공개
최근 “Conti” 계열사가 유출한 플레이북 번역본이 외부에 공개됐다. 해당 번역본을 공개한 시스코 탈로스(Cisco Talos)는 이번에 유출된 정보로 각 그룹이 사용하는 방식을 파악하고 처리할 수 있는 기회가 될 것이라고 언급했다.
Leaks 랜섬웨어
파일명에 “.LEAKS” 확장자를 추가하고 “LEAKS!!!DANGER.txt”이라는 랜섬노트를 생성하는 “Leaks” 랜섬웨어가 발견됐다.
2021년 9월 5일
WannaCrypt 랜섬웨어
파일명에 “.aes.JANELLE” 확장자를 추가하고 “Readme.txt”라는 랜섬노트를 생성하는 “WannaCrypt” 랜섬웨어의 변종이 발견됐다.
2021년 9월 6일
Babuk 랜섬웨어 소스 코드 공개
러시아어를 사용하는 해킹 포럼에 “Babuk” 랜섬웨어의 전체 소스 코드가 유출됐다. 해당 글의 게시자는 암 투병 등을 이유로 코드를 공개한다고 주장했으며, 공개된 파일에는 VMware ESXi, NAS 등의 다양한 환경에 대한 암호화 프로젝트가 포함된 것으로 알려졌다.
Harmagedon 랜섬웨어
파일명에 “.[사용자 ID].[공격자 메일].harmagedon” 확장자를 추가하고 “readme-warning.txt”라는 랜섬노트를 생성하는 “Harmagedon” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 공격자의 C&C 서버와 연결을 시도한다.
GoldenWolf42 랜섬웨어
파일명에 “.GoldenWolf42” 확장자를 추가하고 “read_it.txt”라는 랜섬노트를 생성하는 “GoldenWolf42” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 파일을 자가 복제하고 [그림 3]과 같이 바탕화면 배경을 변경한다.
2021년 9월 7일
Conti 랜섬웨어, ProxyShell 취약점을 사용해 Microsoft Exchange 서버 침해
“Conti” 랜섬웨어 조직이 Microsoft Exchange 서버의 ProxyShell 취약점을 사용해 기업 네트워크를 공격한 정황이 발견됐다. 해당 정황을 발견한 Sophos에 따르면 “Conti” 측이 ProxyShell 취약점을 사용해 네트워크를 침해한 후, 정보를 탈취하고 파일을 감염한다고 한다. 또한, 해당 취약점은 지난 5월에 패치가 됐지만 최근 관련 기술의 세부 정보가 공개된 것으로 알려졌다.
Recovery 랜섬웨어
파일명을 변경하지 않고 “ReadMe.txt”라는 랜섬노트 생성하는 “Recovery” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 [그림 4]의 파일을 자동실행 폴더에 등록하고, 원본 샘플을 자가 삭제한다.
'분석 정보 > 랜섬웨어 분석 정보' 카테고리의 다른 글
| [주간 랜섬웨어 동향] - 9월 4주차 (0) | 2021.09.24 |
|---|---|
| [주간 랜섬웨어 동향] – 9월 3주차 (0) | 2021.09.17 |
| [주간 랜섬웨어 동향] – 9월 1주차 (0) | 2021.09.03 |
| [주간 랜섬웨어 동향] – 8월 4주차 (0) | 2021.08.27 |
| [주간 랜섬웨어 동향] - 8월 3주차 (0) | 2021.08.20 |