잉카인터넷 대응팀은 2022년 3월 25일부터 2022년 3월 31일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "DoubleZero" 1건, 변종 랜섬웨어는 "Conti" 외 3건이 발견됐다.
금주 랜섬웨어 관련 이슈로는 "Lapsus$" 랜섬웨어 그룹 구성원 일부를 체포했으며 "Hive" 랜섬웨어 그룹이 변종 랜섬웨어를 Rust 프로그래밍 언어로 변환한 이슈가 있었다.
2022년 3월 25일
Conti 랜섬웨어
파일명에 ".tq6ou" 확장자를 추가하고 "readme.txt"라는 랜섬노트를 생성하는 "Conti" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 특정 서비스를 종료한다.
Lapsus$ 랜섬웨어 그룹 구성원 일부 체포
최근 런던시 경찰이 Microsoft, Nvidia 및 Okta 등의 업체를 공격한 lapsus$ 랜섬웨어 그룹 구성원 7명을 체포했다고 밝혔다. 체포된 인원 중 일부는 주소, 생년월일 등의 개인정보가 공개됐으며 외신은 해킹을 당한 것이라고 추정하고 있다.
2022년 3월 26일
Hive 랜섬웨어
파일명에 ".G_nnso_o_ynKysp1dUhl" 확장자를 추가하고 "HOW_TO_DECRYPT.txt"라는 랜섬노트를 생성하는 "Hive" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 특정 서비스를 종료한다.
2022년 3월 28일
DoubleZero 랜섬웨어
확장자를 변경하지 않고 랜섬노트를 생성하지 않는 "DoubleZero" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버와 연결을 시도한다.
Rust 프로그래밍 언어로 변환한 Hive 랜섬웨어 변종
Hive 랜섬웨어 그룹은 리눅스용 가상 머신 암호화기를 Rust 프로그래밍 언어로 변환했다. 기업에서 보다 쉬운 백업을 위해 가상 머신 사용이 증가함에 따라 랜섬웨어 그룹은 이러한 서비스에 중점을 둔 전용 암호화기를 만들고 있다.
2022년 3월 30일
Venus 랜섬웨어
파일명에 ".Ywkistef" 확장자를 추가하고 "README.txt"라는 랜섬노트를 생성하는 "Venus" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고, 특정 프로세스 실행을 차단한다. 또한, 바탕화면의 배경을 [그림 3]으로 변경한다.
2022년 3월 31일
Stop 랜섬웨어
파일명에 ".wdlo" 확장자를 추가하고 _readme.txt "라는 랜섬노트를 생성하는 "Stop" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버와 연결을 시도한다.
'분석 정보 > 랜섬웨어 분석 정보' 카테고리의 다른 글
디스코드 토큰을 탈취하는 AXLocker 랜섬웨어 (0) | 2022.11.30 |
---|---|
멀티 쓰레드 통신 방법으로 암호화하는 BlueSky 랜섬웨어 (0) | 2022.10.05 |
[주간 랜섬웨어 동향] – 3월 4주차 (0) | 2022.03.25 |
[주간 랜섬웨어 동향] – 3월 3주차 (0) | 2022.03.18 |
[주간 랜섬웨어 동향] – 3월 2주차 (0) | 2022.03.11 |