랜섬웨어369 Git으로 위장한 Cephalus 랜섬웨어 최근 오픈 소스 버전 관리 시스템인 Git으로 위장한 Cephalus 랜섬웨어가 발견됐다. 파일 정보에는 Git for Windows.exe의 2.49.0 버전이라는 설명과 Git 프로그램의 아이콘 및 인증서를 사용하며 정상 파일로 위장해 사용자의 실행을 유도한다. Cephalus 랜섬웨어를 실행하면 파일을 암호화하고 Windows Defender 예외 목록에 해당 랜섬웨어 파일을 추가해 탐지를 방지한다. 그리고 공격자는 사용자 PC를 암호화할 뿐만 아니라 정보를 탈취해 데이터 유출 사이트인 DarkForum에 게시한다. 보안 업체 헌트리스에 따르면 DLL 사이드로딩으로 실행되는 또다른 Cephalus 랜섬웨어를 발견했다고 전했다. 해당 랜섬웨어는 다중 인증(MFA)이 없는 계정을 이용한 원격 데스트톱 .. 2025. 10. 28. Gunra 랜섬웨어, Conti의 새로운 변종 등장 최근 국내 기업을 대상으로 Gunra 랜섬웨어가 유포돼 서비스가 일시적으로 중단된 사건이 발생했다. 언론에 따르면 공격자는 SSL-VPN 장비의 SSH 서비스 포트에 대한 무차별 대입 공격으로 내부에 침입해 랜섬웨어를 실행한 것으로 전해진다. 해당 공격에 사용된 Gunra는 Conti 랜섬웨어의 변종으로 올해 4월에 처음 등장해 주로 의료, 제조 및 IT 등 다양한 분야를 대상으로 삼았으며 5월에는 두바이의 한 병원에서 환자 데이터를 유출한 정황이 발견됐다. 또한 Gunra가 등장한 초기에는 Windows 버전만 존재했으나 이후 Linux 버전의 변종을 추가하면서 공격 대상을 확장했고 피해 대상과 유출된 데이터의 게시 및 협상을 목적으로 유출 사이트를 운영하고 있다. Gunra 랜섬웨어는 감염된 시스템의.. 2025. 8. 19. 2025년 새로 등장한 NightSpire 랜섬웨어 올해 초에 등장한 NightSpire 랜섬웨어가 제조, 금융 및 의료 기관 등의 다양한 산업군을 대상으로 한 공격에 사용돼 짧은 기간 동안 많은 피해를 입히고 있어 보안업계에서 주목을 받고 있다. 이전에 공개된 공격 사례를 보면 NightSpire 조직은 피싱 이메일이나 웹 방화벽 및 VPN 장비 등 외부로 노출된 시스템의 취약점을 이용해 접근했다. 악용된 취약점은 CVE-2024-55591로 Fortinet사의 방화벽과 VPN 장비에서 웹 소켓 모듈이 수신한 요청 값을 제대로 처리하지 않아 발생하는 권한 상승 취약점이다. 공격 대상 내부로 진입한 이후에는 LOLBin(Living-Off-the-Land Binaries) 기법으로 Powershell과 PsExec 등의 도구를 사용해 내부 네트워크를 탐색.. 2025. 6. 24. Interlock 랜섬웨어, 데이터 유출 주의 최근 전 세계의 의료, 교육 및 방산 등 다양한 분야에서 Interlock 랜섬웨어에 의한 피해 사례가 발견되고 있다. Interlock 랜섬웨어 조직은 2024년 9월 처음 등장해 꾸준히 활동을 이어왔으며 데이터 암호화뿐만 아니라 공격 과정에서 자체 RAT 악성코드인 Interlock RAT와 NodeSnake를 이용해 데이터를 탈취한다. 또한 해당 조직은 탈취한 데이터를 공개한다는 협박과 함께 추가 금전을 요구하는 등 이중 갈취 전술을 사용한다고 전해진다. Interlock 랜섬웨어는 주로 피싱 이메일과 명령어를 복사해 실행하도록 유도하는 ClickFix 등의 사회 공학(Social Engineering) 기법을 이용해 유포되며 파일을 암호화한 후 확장자를 “.interlock”으로 변경하고 각 폴더.. 2025. 6. 20. 유럽 의료 기관을 표적으로 한 새로운 NailaoLocker 랜섬웨어 발견 보안 업체 Orange가 2024년 6월에서 10월 사이 유럽 의료 기관을 표적으로 하는 새로운 NailaoLocker 랜섬웨어에 대해 보고했다. NailaoLocker는 다른 랜섬웨어군에 비해 보안 프로세스나 실행 중인 서비스를 종료시키지 않고, 별도의 디버깅 방지 및 샌드박스 회피 메커니즘이 없어 상대적으로 단순한 랜섬웨어라고 언급했다. NailaoLocker는 합법적인 실행 파일을 포함하는 DLL 사이드로딩을 통해 사용자의 시스템에 배포된다고 말했다. 이후, 메모리 주소 검사를 수행해 환경을 확인한 다음 주요 페이로드를 해독해 메모리에 로드한다. 최종적으로, 랜섬웨어가 활성화되면 파일을 암호화하고 '.locked' 확장자를 추가해 HTML 랜섬 노트를 생성한다고 말했다. Orange는 랜섬 노트의 .. 2025. 2. 21. 부분 암호화를 사용하는 Play 랜섬웨어 2022년 처음 등장한 Play 랜섬웨어가 최근까지도 꾸준히 유포되면서 관련 피해 사례가 발견되고 있다. 해당 랜섬웨어는 암호화 과정에서 파일 크기에 따른 부분 암호화를 이용해 처리 속도를 단축하고 보안 프로그램의 탐지를 방지한다. 또한, 암호화가 완료된 파일의 끝에 일정한 크기의 데이터 구조를 추가해 해당 파일의 암호화 유무를 확인하는 파일 마커와 암호화 관련 정보를 저장한다. 1. 암호화 결과Play 랜섬웨어는 이동식 드라이브와 네트워크 드라이브를 포함한 모든 드라이브를 대상으로 파일을 암호화한다. 암호화된 파일은 파일명 뒤에 “.PLAY” 확장자를 추가하고 공격자의 이메일 주소가 포함된 내용과 함께 “ReadMe.txt”라는 이름의 랜섬노트를 생성한다. 단, 암호화 대상에서 Windows 폴더,.. 2025. 2. 18. 이전 1 2 3 4 ··· 62 다음
