잉카인터넷 시큐리티대응센터 블로그

1분기 국가별 해커그룹 동향 보고서 러시아 2023년 1분기에 러시아를 배후로 둔 Sandworm 그룹과 Gamaredon 그룹의 공격이 발견되었다. 두 해커 그룹은 작년에도 활발하게 활동한 그룹으로, 최근 공격에서는 새로운 악성코드를 사용한 것으로 전해진다. Sandworm 해커 그룹은 SwiftSlicer 라는 이름의 와이퍼를 이용하였으며, Gamaredon 해커 그룹은 GammaLoad 와 GammaSteel 악성코드를 사용하였다. Sandworm Sandworm 해커 그룹은 러시아 연방군 총참모부 정보총국 (GRU) 을 배후로 두고 있으며, 2013년 부터 우크라이나를 대상으로 APT 공격을 수행하였다. 이번 1분기 1월에도 우크라이나의 조직을 대상으로 한 APT 공격이 발견되었다. ESET에 따..

1. 랜섬웨어 피해 사례 2023년 1분기(1월 1일 ~ 3월 31일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 “로얄(Royal)”, “바이스 소사이어티(Vice Society)” 및 “클롭(Clop)” 등의 랜섬웨어로 인한 피해가 다수 발견됐다. 1월에는 호주의 퀸즐랜드 공과대학이 “로얄” 랜섬웨어 공격을 받았고, 2월과 3월에는 미국 로스엔젤레스 교육부 LAUSD와 미국 보안 업체 Rubrik이 각각 “바이스 소사이어티”와 “클롭” 랜섬웨어 공격을 받아 피해가 발생했다. 로얄(Royal) 랜섬웨어 피해 사례 작년 9월에 처음 등장한 로얄(Royal) 랜섬웨어는 주로 미국의 의료 및 중요 인프라를 대상으로 꾸준히 공격해 오고 있다. 또한, 지난 11월에는 처음으로 락빗(LockBit) 랜섬웨어..

4분기 국가별 해커그룹 동향 보고서 러시아 이번 4분기에는 KillNet과 Z-Team, Sandworm 그룹이 활발하게 활동하였다. KillNet과 Z-Team은 친러 성향의 핵티비스트 그룹으로 주로 우크라이나를 대상으로 공격을 수행한다. KillNet은 정부 및 기업의 웹사이트를 대상으로 하는 DDoS 공격을 수행하였고, Z-Team은 해독이 어려운 Somnia 악성코드 변종을 유포하였다. 러시아 정부를 배후로 둔 Sandworm 해커그룹은 새로운 랜섬웨어인 RansomBoggs를 이용해 APT 공격을 수행하였다. KillNet 이번 4분기에 친러 성향의 핵티비스트인 KillNet의 공격이 두차례 발견되었다. 두 건 모두 DDoS 공격으로 국가 기관 및 기업의 웹사이트를 마비시켰다. 먼저, 10월에는..

1. 랜섬웨어 피해 사례 2022년 4분기(10월 1일 ~ 12월 31일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 “락빗(LockBit)”, “블랙캣(BlackCat)” 및 “플레이(Play)” 등의 랜섬웨어로 인한 피해가 다수 발견됐다. 10월에는 일본 제조 업체 Ohmiya가 “락빗” 랜섬웨어 공격을 받았고, 11월과 12월에는 호주 부동산 업체 LJ Hooker와 미국 클라우드 서비스 업체 Rackspace가 각각 “블랙캣”과 “플레이” 랜섬웨어 공격을 받아 피해가 발생했다. 락빗(LockBit) 랜섬웨어 피해 사례 락빗(LockBit) 랜섬웨어를 사용하는 조직이 4분기에도 꾸준한 활동량을 보이고 있다. 지난 3분기에 랜섬웨어 빌더가 유출된 이후 다수의 변종 등장과 함께 락빗 랜섬웨어의 피..

3분기 국가별 해커그룹 동향 보고서 러시아 이번 3분기에는 러시아 국가기관의 지원을 받는 해커그룹 중 KillNet과 Gamaredon, Sandworm 해커그룹이 활발하게 활동하였다. 이 그룹들은 지난 2분기에 이어서 APT 공격을 수행하였으며, 주요 공격 대상이 우크라이나 정부기관에서 우크라이나 정부를 지지하는 기업으로 확대되었다. 그리고 FancyBear 해커그룹이 새로운 공격 기법인 HoverWithPower를 활용해 공격을 수행하였다. KillNet 친러시아 성향의 해커그룹인 KillNet은 지난 3월부터 활동한 것으로 전해진다. 주요 공격 대상은 이탈리아, 루마니아, 체코, 라트비아 등으로 우크라이나를 지지하는 국가 및 정부기관 등이 있다. 지난 2분기에는 이탈리아를 표적으로 하여, 은행을 포..

1. 랜섬웨어 피해 사례 2022년 3분기(7월 1일 ~ 9월 30일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 “락빗(LockBit)”, “라그나락커(RagnarLocker)” 및 “하이브(Hive)” 등의 랜섬웨어로 인한 피해가 다수 발견됐다. 7월에는 미국 유통 업체 Gensco가 “라그나락커(RagnarLocker)” 랜섬웨어 공격을 받았고, 8월과 9월에는 미국 보안 업체 Entrust와 프랑스 의류 업체 Damart가 각각 “락빗(LockBit)”과 “하이브(Hive)” 랜섬웨어 공격을 받아 피해가 발생했다. 락빗(LockBit) 랜섬웨어 피해 사례 락빗(LockBit) 랜섬웨어가 3분기에서도 꾸준한 활동량을 보이고 있다. 지난 9월, 해당 랜섬웨어 조직의 구성원으로 추정되는 개발자에 ..

2분기 국가별 해커그룹 동향 보고서 러시아 러시아 정부의 지원을 받는 해커그룹들은 오랜 기간 활동하였으며, 그 수도 계속해서 증가하고 있다. CERT-UA (우크라이나 국가 컴퓨터 비상 대응 팀)에 따르면, 러시아의 해커그룹인 Gamaredon 그룹과 Sandworm 그룹의 것으로 확인되는 APT 공격이 지난 3월과 4월에 이어 6월에도 발생한 것으로 전해진다. 그리고 KillNet이라고 불리는 친러시아 해커그룹이 새롭게 등장하였다. Gamaredon 러시아의 Gamaredon 해커그룹은 ‘Primitive Bear’, ‘Actinium’ 또는 ‘Shuckworm’ 이라고 불린다. 해당 해커그룹은 2013년부터 활동한 것으로 알려졌으며, 작년 4분기와 올해 1분기에 이어 2분기에도 활동이 발견되었다. 이..

1. 랜섬웨어 피해 사례 2022년 2분기(4월 1일 ~ 6월 30일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 “콘티(Conti)”, “락빗(LockBit)” 및 “바이스 소사이어티(Vice Society)” 등의 랜섬웨어로 인한 피해가 다수 발견되었다. 4월에는 미국 모션 제어 기술 업체 Parker-Hannifin가 “콘티(Conti)” 랜섬웨어 공격을 받았고, 5월과 6월에는 유럽 전자도서관 앱 제공업체 EKZ와 이탈리아 팔레르모시가 각각 “락빗(LockBit)”과 “바이스 소사이어티(Vice Society)” 랜섬웨어 공격을 받아 피해가 발생했다. 콘티(Conti) 랜섬웨어 피해 사례 콘티(Conti) 랜섬웨어는 위자드 스파이더(Wizard Spider)라고 불리는 러시아 사이버 범죄 조..

1분기 국가별 해커그룹 동향 보고서 러시아 러시아의 해커그룹들은 20년 이상 활동한 것으로 전해지며, 여러 정부기관의 지원을 받아 활동한다. 최근 발생한 러시아-우크라이나 전쟁이 사이버 전쟁으로 확대되어, 이번 1분기에는 우크라이나를 표적으로 한 다양한 공격이 발견되었다. 작년 4분기에도 활발하게 활동한 Gamaredon 해커그룹의 공격이 현재까지 이어져, 우크라이나 정부기관의 웹사이트 등을 공격하였다. 이에 대응하기 위해 우크라이나 정부를 포함한 여러 국가 및 기업에서 노력 중인 것으로 알려진다. Gamaredon 러시아 정부를 배후로 두고 있는 Gamaredon 그룹은 ‘Primitive Bear’ 또는 ‘Actinium’ 이라고도 불리는 해커 그룹으로, 2013년부터 활동한 것으로 알려진다. 해당 ..

1. 랜섬웨어 피해 사례 2022년 1분기(1월 1일 ~ 3월 31일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 “콘티(Conti)”, “랩서스(Lapsus$)” 및 “블랙바이트(BlackByte)” 등의 랜섬웨어로 인한 피해가 다수 발견되었다. 1월에는 대만의 전자 제품 공급 업체 Delta Electronics가 “콘티(Conti)” 랜섬웨어 공격을 받았고, 2월과 3월에는 미국 미식 축구팀 49ers와 미국 IT 업체 Okta가 각각 “블랙바이트(BlackByte)”와 “랩서스(Lapsus$)” 랜섬웨어 공격을 받아 피해가 발생했다. 콘티(Conti) 랜섬웨어 피해 사례 콘티(Conti) 랜섬웨어는 위자드 스파이더(Wizard Spider)라고 불리는 러시아 사이버 범죄 조직에 의해 운영되는..