랜섬웨어 301

2022년 04월 랜섬웨어 동향 보고서

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 49곳의 정보를 취합한 결과이다. 2022년 4월(4월 1일 ~ 4월 30일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “Conti” 랜섬웨어가 88건으로 가장 많은 데이터 유출이 있었고, “LockBit” 랜섬웨어가 78건으로 두번째로 많이 발생했다. 2022년 4월(4월 1일 ~ 4월 30일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 38%로 가장 높은 비중을 차지했고, 독일이 12%, 영국 및 캐나다가 각각 6%, 스페인 및 이탈리아가 각각 4%로 그 뒤를 따랐다. 2022년 4월(4월 1일 ~ 4월 30일)에 발생한 데이터 유출 건을 산..

2022년 1분기 랜섬웨어 동향 보고서

1. 랜섬웨어 피해 사례 2022년 1분기(1월 1일 ~ 3월 31일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 “콘티(Conti)”, “랩서스(Lapsus$)” 및 “블랙바이트(BlackByte)” 등의 랜섬웨어로 인한 피해가 다수 발견되었다. 1월에는 대만의 전자 제품 공급 업체 Delta Electronics가 “콘티(Conti)” 랜섬웨어 공격을 받았고, 2월과 3월에는 미국 미식 축구팀 49ers와 미국 IT 업체 Okta가 각각 “블랙바이트(BlackByte)”와 “랩서스(Lapsus$)” 랜섬웨어 공격을 받아 피해가 발생했다. 콘티(Conti) 랜섬웨어 피해 사례 콘티(Conti) 랜섬웨어는 위자드 스파이더(Wizard Spider)라고 불리는 러시아 사이버 범죄 조직에 의해 운영되는..

[주간 랜섬웨어 동향] – 3월 5주차

잉카인터넷 대응팀은 2022년 3월 25일부터 2022년 3월 31일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "DoubleZero" 1건, 변종 랜섬웨어는 "Conti" 외 3건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 "Lapsus$" 랜섬웨어 그룹 구성원 일부를 체포했으며 "Hive" 랜섬웨어 그룹이 변종 랜섬웨어를 Rust 프로그래밍 언어로 변환한 이슈가 있었다. 2022년 3월 25일 Conti 랜섬웨어 파일명에 ".tq6ou" 확장자를 추가하고 "readme.txt"라는 랜섬노트를 생성하는 "Conti" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 특정 서비스를 종료한다. Lapsus$ 랜섬웨어 그룹 구성원 일부 체포 최근 런던시 ..

[주간 랜섬웨어 동향] – 3월 4주차

잉카인터넷 대응팀은 2022년 3월 18일부터 2022년 3월 24일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "GoodWill" 1건, 변종 랜섬웨어는 "CryptoJoker" 외 3건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 우크라이나의 연구원이 "Conti" 랜섬웨어와 관련해서 소스 코드를 유출한 이슈가 있었다. 2022년 3월 19일 CryptoJoker 랜섬웨어 파일명에 ".fully.fucked" 또는 ".partially.fucked" 확장자를 추가하고 "CAD Recovery Information.txt"라는 랜섬노트를 생성하는 "CryptoJoker" 랜섬웨어의 변종이 발견됐다. Hive 랜섬웨어 파일명에 ".key.4g3j7" 확장자를 추가하고 "x..

[주간 랜섬웨어 동향] – 3월 3주차

잉카인터넷 대응팀은 2022년 3월 11일부터 2022년 3월 17일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Encry" 외 4건, 변종 랜섬웨어는 "BlackCat"외 2건이 발견됐다. 2022년 3월 11일 BlackCat 랜섬웨어 파일명에 ".iz5zhcr" 확장자를 추가하고 "RECOVER-iz5zhcr-FILES.txt"라는 랜섬노트를 생성하는 "BlackCat" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 바탕화면의 배경을 [그림 2]로 변경한다. Stop 랜섬웨어 파일명에 ".ii" 확장자를 추가하고 "_readme.txt"라는 랜섬노트를 생성하는 "Stop" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버와 연결을 시도한다. Nok..

국내 차량 열관리 시스템 대기업 랜섬웨어 공격 사건, 정보 유출 주의

최근 국내 차량 열관리 시스템 대기업이 랜섬웨어의 공격을 받아 피해 업체의 내부 자료가 유출됐다. 피해 업체를 공격한 것으로 알려진 "Snatch" 랜섬웨어 그룹은 탈취한 데이터 10GB를 "Snatch" 데이터 유출사이트에 게시했다고 주장했지만 확인 결과 9.6GB의 파일을 다운로드할 수 있었다. 해커가 공개한 데이터에는 2010년부터 2013년까지 사용하던 기업 내부 자료 및 사진 파일이 존재했으며 [그림 2]와 같이 피해 기업 직원의 개인 정보가 포함된 데이터가 확인됐다. 최근 국내 기업을 대상으로 하는 사이버 공격이 자주 발견되고 있으며, 이에 따라 정보 유출의 문제도 발생하고 있다. 따라서, 각 기업에서는 직원들의 보안의식을 높이고 내부 보안 시스템을 점검 및 관리해 안전성을 확보할 필요가 있다..

[주간 랜섬웨어 동향] – 3월 2주차

잉카인터넷 대응팀은 2022년 3월 4일부터 2022년 3월 10일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 변종 랜섬웨어는 "Lockbit"외 6건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 미국의 CISA가 "Conti" 랜섬웨어에 대한 경고와 함께 침해 지표(IOC)를 공개하는 이슈가 있었다. 2022년 3월 4일 Lockbit 랜섬웨어 파일명에 ".lockbit" 확장자를 추가하고 "Restore-My-Files.txt"라는 랜섬노트를 생성하는 "Lockbit" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템의 복원을 무력화한다. Hive 랜섬웨어 파일명에 ".[키 값].3w1gm" 확장자를 추가하고 "JPjx_HOW_TO_DECRYPT.txt"라는 랜섬노트를 생성하는 "H..

2022년 02월 랜섬웨어 동향 보고서

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 49곳의 정보를 취합한 결과이다. 2022년 2월(2월 1일 ~ 2월 28일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “LockBit” 랜섬웨어가 52건으로 가장 많은 데이터 유출이 있었고, “Conti” 랜섬웨어가 31건으로 두번째로 많이 발생했다. 2022년 2월(2월 1일 ~ 2월 28일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 32%로 가장 높은 비중을 차지했고, 영국이 9%, 이탈리아와 독일이 각각 7%로 그 뒤를 따랐다. 2022년 2월(2월 1일 ~ 2월 28일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야..

[주간 랜섬웨어 동향] - 2월 3주차

잉카인터넷 대응팀은 2022년 2월 11일부터 2022년 2월 17일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Sodinokibi" 외 3건, 변종 랜섬웨어는 "Nokoyawa"외 4건이 발견됐다. 2022년 2월 11일 Sodinokibi 랜섬웨어 파일명에 ".4agrfsh5tx7" 확장자를 추가하고 "4agrfsh5tx7-HOW-TO-DECRYPT.txt"라는 랜섬노트를 생성하는 "Sodinokibi" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템의 복원을 무력화하고, 자동실행 레지스트리에 등록한다. 또한, 바탕화면의 배경을 변경한다. 2022년 2월 12일 WannaCry 랜섬웨어 파일명에 ".WNCRY" 확장자를 추가하고 "Wana Decrypt0r.e..

[주간 랜섬웨어 동향] - 2월 2주차

잉카인터넷 대응팀은 2022년 2월 4일부터 2022년 2월 10일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Scorpio" 외 1건, 변종 랜섬웨어는 "Stop" 외 3건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 보안 업체 Avast에서 "argetCompany" 랜섬웨어의 디크립터를 공개했으며, "NetWalker" 랜섬웨어 공격에 연루된 캐나다인이 징역을 선고받은 이슈가 있었다. 2022년 2월 7일 Stop 랜섬웨어 파일명에 ".cuag" 확장자를 추가하고 "_readme.txt"라는 랜섬노트를 생성하는 "Stop" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버와 연결을 시도한다. 2022년 2월 8일 TargetCompany 랜섬웨어 디..