잉카인터넷 대응팀은 2021년 10월 1일부터 2021년 10월 7일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Spook" 외 2건, 변종 랜섬웨어는 "Ouroboros" 외 2건이 발견됐다.
금주 랜섬웨어 관련 이슈로는 "AtomSilo" 랜섬웨어가 서버 취약점으로 페이로드를 배포하기 시작했으며 확인되지 않은 랜섬웨어 그룹이 Python 스크립트로 가상 머신을 암호화하기 시작했다.
2021년 10월 1일
Ouroboros 랜섬웨어
파일명에 "[공격자 메일][사용자 ID][파일명].HYDRA"로 변경하고 "#FILESENCRYPTED.txt"라는 랜섬노트를 생성하는 "Ouroboros" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버에 연결을 시도한다.
2021년 10월 2일
Spook 랜섬웨어
파일명에 ".PUUEQS8AEj" 확장자를 추가하고 "RESTORE_FILES_INFO.hta"라는 랜섬노트를 생성하는 "Spook" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 프로세스를 제외한 다수의 프로세스를 종료한다.
2021년 10월 4일
AtomSilo 랜섬웨어
파일명에 ".[공격자 메일].eking" 확장자를 추가하고 "_readme.txt"라는 랜섬노트를 생성하는 "AtomSilo" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버에 연결을 시도한다.
2021년 10월 6일
Dharma 랜섬웨어
파일명에 ".tisc" 확장자를 추가하고 랜섬노트를 생성하지 않는 "Dharma" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 윈도우 디펜더를 무력화한다.
2021년 10월 6일
Alkhal 랜섬웨어
확장자를 변경하지 않고 "Recovery.bmp"라는 랜섬노트를 생성하는 "Alkhal" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.
AtomSilo 랜섬웨어, 서버 취약점을 통해 페이로드 배포
최근 등장한 "AtomSilo" 랜섬웨어가 Confluence 서버 및 데이터 센터의 취약점을 악용하여 랜섬웨어를 배포하기 시작했다. 해당 랜섬웨어는 Confluence 서버의 취약점을 통해 침투한 뒤 DLL 사이드 로딩을 사용하여 백도어를 실행하고, 감염된 PC를 암호화한다.
Python 스크립트를 이용한 가상 머신 암호화
알려지지 않은 랜섬웨어 그룹이 Python 스크립트를 사용하여 VMware ESXi 서버에서 호스팅되는 가상 머신을 암호화하는 것으로 밝혀졌다. Python 스크립트는 초기 침해 후 3시간 이내에 취약한 ESXi 하이퍼바이저에서 실행되는 피해자의 가상 머신을 암호화하는데 사용한다.
2021년 10월 7일
MME 랜섬웨어
파일명에 ".MME" 확장자를 추가하고 "READ_ME.txt"라는 랜섬노트를 생성하는 "MME" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버에 연결을 시도한다.
'분석 정보 > 랜섬웨어 분석 정보' 카테고리의 다른 글
| [주간 랜섬웨어 동향] - 10월 3주차 (0) | 2021.10.22 |
|---|---|
| [주간 랜섬웨어 동향] - 10월 2주차 (0) | 2021.10.15 |
| [주간 랜섬웨어 동향] - 9월 5주차 (0) | 2021.10.01 |
| [주간 랜섬웨어 동향] - 9월 4주차 (0) | 2021.09.24 |
| [주간 랜섬웨어 동향] – 9월 3주차 (0) | 2021.09.17 |