잉카인터넷 시큐리티대응센터 블로그

잉카인터넷 대응팀은 2021년 12월 24일부터 2021년 12월 30일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Ranzon"외 2건, 변종 랜섬웨어는 "Karma"외 1건이 발견됐다. 2021년 12월 24일 Ranzon 랜섬웨어 파일명을 변경하지 않고 [그림 1]의 랜섬노트를 생성하는 "Ranzon" 랜섬웨어가 발견됐다. 2021년 12월 25일 Karma 랜섬웨어 파일명에 ".KARMA_V2!" 확장자를 추가하고 "KARMA_V2-ENCRYPTED.txt"라는 랜섬노트를 생성하는 "Karma" 랜섬웨어의 변종이 발견됐다. 2021년 12월 26일 LokiLocker 랜섬웨어 파일명에 ".Loki" 확장자를 추가하고 "Restore-My-Files.txt"라는..

최근 마이크로소프트 빌드 엔진인 MSBuild를 악용해 코발트 스트라이크를 유포한 정황이 발견됐다. 공격자는 공격에 사용한 MSBuild에 코발트 스트라이크를 빌드 및 실행이 가능하도록 작성한 코드를 추가했다. 이후, 해당 빌드 엔진을 실행하면 공격자의 C&C 서버와 통신해 추가 페이로드를 다운로드한다. 보안 전문가는 이번 사건과 관련해 윈도우 디펜더에서 악성 프로그램 차단 정책을 사용하면 유사한 공격을 무력화할 수 있다고 언급했다. 출처 [1] SecurityAffairs (2021.12.30) - Threat actors are abusing MSBuild to implant Cobalt Strike Beacons https://securityaffairs.co/wordpress/126104/hack..

최근 "AvosLocker" 랜섬웨어 조직이 미국의 정부 기관을 공격한 후, 무료로 복호화 툴을 제공한 정황이 알려졌다. 외신에 따르면 "AvosLocker" 측이 무료로 복호화 툴을 제공한 이유가 법 집행에 대한 두려움 보다는 돈을 받기 어렵기 때문이라고 언급했다고 알렸다. 또한, 공격 대상에 대한 정책은 별도로 없지만, 일반적으로 정부 기관과 병원은 피한다고 밝혔다. 사진 출처 : Twitter 출처 [1] Twitter (2021.12.30) – AvosLocker 관련 트위터 게시글 https://twitter.com/pancak3lullz/status/1476217440442925057 [2] BleepingComputer (2021.12.30) - Ransomware gang coughs up..