잉카인터넷 시큐리티대응센터 블로그

잉카인터넷 대응팀은 2021년 3월 5일부터 2021년 3월 11일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 “Hog” 외 6건, 변종 랜섬웨어는 “Makop” 외 5건이 발견됐다. 이 중, “Sarbloh” 랜섬웨어는 “2020년 인도 농업법”에 반대하는 세력이 유포했다고 추정되고, “DearCry” 랜섬웨어는 지난 메인 이슈였던 Microsoft Exchange Server 취약점을 악용하여 유포됐다. 2021년 3월 5일 Hog 랜섬웨어 “Hog” 랜섬웨어는 디스코드 사용자를 대상으로 파일을 암호화한다. 해당 랜섬웨어는 확장자를 ". hog"로 바꾸고, " DECRYPT-MY-FILES.exe" 라는 이름의 랜섬노트를 생성한다. 2021.03.17 - [최신 보..

Sarbloh 랜섬웨어 분석 보고서 최근 “2020년 인도 농업법”에 반대하는 시위가 일어났으며 법안에 대해 반대하는 세력이 “Sarbloh” 랜섬웨어를 유포하기 시작했다. [그림 1]의 최 하단부에 기재된 힌디어인 “Khalsa Cyber Fauj” 를 해석하면 “칼사의 사이버 부대” 라는 뜻으로, 칼사(Khalsa)란 시크교도들을 가리키는 말이며 이번 법안에 가장 큰 피해를 입은 무리이다. 또한, 랜섬웨어의 이름인 “Sarbloh”는 칼사가 과거에 사용했던 검을 만들 때 사용하는 금속으로 시크교도들의 투쟁 의지를 나타낸다. “Sarbloh” 랜섬웨어는 피싱 메일에 악성 문서 파일을 첨부해 유포되고 있으며, 해당 문서 파일의 내부 매크로에 의해 페이로드를 다운로드하고, 실행시킨다. 실행된 “Sarblo..

"HelloKitty" 랜섬웨어는 자사 블로그에 Hyper-V 사용자를 공격하는 신종 랜섬웨어 이슈와 CD PROJEKT RED 피해 이슈로 인해 분석돼 게시된 바 있다. 최근 해당 랜섬웨어의 추가 조사 결과, 기존에 게시된 이슈 외의 피해사례와 관련 샘플을 획득했고 랜섬노트 상단에 공격 대상으로 지정한 기업을 명시한다는 특징을 발견했다. 랜섬노트 지난 2월, 비디오 게임 업체인 CD PROJEKT RED가 “HelloKitty” 랜섬웨어 공격을 받아 운영에 차질을 빚었다. 피해 기업은 사이버 공격을 당한 직후, 공식 트위터를 통해 랜섬웨어 공격을 받았다는 사실을 알리고, 감염된 PC에서 발견된 랜섬노트를 공개했다. 이들이 공개한 랜섬노트는 피해 기업명인 CD PROJEKT로 시작하며 Cyberpunk ..

DoppelPaymer 랜섬웨어 INDRIK SPIDER 및 TA505로도 알려진 러시아 모스크바의 Evil Corp 사이버 범죄 그룹은 Dridex와 함께 BitPaymer 랜섬웨어를 유포하기 시작했다. 그 후 BitPaymer와 유사하지만 특정 프로세스를 종료 시켜 많은 파일을 암호화할 수 있고, 네트워크 명령을 통해 로컬 네트워크 및 다른 호스트의 IP 주소를 검색하는 기능을 추가한 DoppelPaymer가 2019년 6월 공개되었다. 하지만 DoppelPaymer의 출처가 Evil Corp 그룹과 연관이 있다는 추정이 있을 뿐 정확한 증거는 존재하지 않았다. 피해 사례 2020년부터 “DoppelPaymer” 랜섬웨어는 주로 자금이 충분한 기업 및 정부를 대상으로 유포되었으며, 많은 금액의 랜섬머..

현재 인터넷 사이트를 통해 국내 유출 신용카드 정보 100만 건이 공유되고 있다. 확인된 웹사이트는 구글 등의 검색엔진을 통해 검색이 가능한 일반적인 인터넷 사이트로, 누구나 쉽게 유출된 신용카드 정보를 획득할 수 있는 상황이다. 이로써 해당 신용카드 정보의 부정 사용 가능성이 훨씬 높아질 것으로 보인다. 인터넷을 통해 공유되고 있는 신용카드 정보는 작년 11월 말 클롭 랜섬웨어 (CLOP Ransomware)가 이랜드 그룹 에서 탈취했다고 주장하는 신용카드 정보 중 100만 건으로 처음 다크웹을 통하여 공개 됐다. 다크웹은 검색 서비스가 활성화되지 않아 원하는 정보를 찾는 것이 매우 어려우며 일반인이 접근하기 쉽지 않아 해당 정보가 널리 퍼지지 않을 것으로 예상되었으나, 정보가 공개된 웹사이트는 다크웹..

국내/외 랜섬웨어 피해 사례 2021년 2월(2월 1일 ~ 2월 28일) 한 달간 랜섬웨어 동향을 조사한 결과, “HelloKitty” 랜섬웨어가 폴란드 비디오 게임 개발 업체 CD PROJEKT RED를 공격했다. 또한, “DoppelPaymer” 랜섬웨어가 국내 자동차 기업의 미국 지사를 공격했고, 미국 자동 자금 이체 서비스 제공 업체인 AFTS가 “Cuba” 랜섬웨어 공격을 받아 데이터가 유출된 사건이 있었다. 폴란드 비디오 게임 개발 업체 CD PROJEKT RED, HelloKitty 랜섬웨어 피해 사례 지난 11월 처음 발견된 “Hellokitty” 랜섬웨어에 의해 CD PROJEKT RED가 공격을 받았다. 이번 공격으로 인해 피해 기업은 일부 시스템이 암호화되어 업무에 지장을 받았고, 공..

지난 11월 처음 발견된 “HelloKitty” 랜섬웨어에 의한 피해 사례가 꾸준히 발견되고 있으며, 최근에는 비디오 게임 개발 업체인 CD PROJEKT RED를 공격한 정황이 포착됐다. 이번 공격으로 인해 피해 기업은 일부 시스템이 암호화되어 업무에 지장을 받았고, 감염된 시스템에 남겨진 랜섬노트에 따르면 “HelloKitty” 랜섬웨어 운영진들이 해당 기업에서 정보를 탈취했다고 알려졌다. 해당 사건이 발생한 후, 피해 업체는 공식 트위터에 사이버 공격을 당했고 이로 인한 몸값 지불 및 협상을 하지 않겠다는 내용을 게시했다. “HelloKitty”에 감염되면 폴더마다 “read_me_lkd.txt”란 이름의 랜섬노트를 생성하여 사용자에게 감염사실을 알린다. 하지만, 이번 CD PROJEKT RED 공..

최근 “BleachGap” 랜섬웨어가 발견되었다. ‘BleachGap’ 랜섬웨어는 %USERPROFILE% 경로를 대상으로 암호화 하고, 볼륨 섀도우 복사본 삭제를 통해 PC 복구가 불가능하도록 하며 마우스 버튼 좌우 반전 및 자주 사용하는 키보드 버튼을 비활성화 하여 사용자를 당혹스럽게 한다. 또한, 랜섬머니 지불 기간을 5일로 제한해 기한이 지나면 부팅을 불가능하게 만든다. “BleachGap” 랜섬웨어를 실행하면 전반적인 랜섬웨어 동작을 담당하는 배치 파일을 드랍한다. 해당 배치 파일은 ‘%USERPROFILE%’ 폴더 및 하위 폴더의 모든 파일을 암호화하며 암호화된 파일의 확장자를 “.lck” 로 변경하고, 감염된 사용자가 시스템을 복원할 수 없도록 볼륨 섀도우 복사본을 삭제한다. 또한, 레지스트..

지난 2016년도부터 꾸준히 모습을 나타낸 Xorist 랜섬웨어가 또 다른 변종으로 등장하였다. 해당 랜섬웨어는 일반적인 랜섬웨어와 달리 메시지 창을 띄워 감염사실을 알리는 특이한 모습으로, 특정 확장자에 대하여 파일 감염 동작을 수행한다. 그리고 사용자가 감염된 파일을 실행할 때 오류 메시지 창을 띄워 랜섬노트의 내용과 함께 금전적인 요구를 하기에 주의가 필요하다. Xorist 랜섬웨어의 악성동작이 수행되면, 아래의 이미지와 같이 오류 메시지 창을 띄운다. 위의 메시지 창과 함께 모든 디렉토리 아래에 동일한 내용의 랜섬노트도 생성한다. 해당 랜섬웨어는 사용중인 모든 드라이브를 대상으로 다음의 확장자를 대상으로 암호화 동작을 수행한다. 감염 동작이 수행되면 파일 유형은 “CRYPTED!”로 변경되며, 파..

최근 “Namaste” 랜섬웨어가 발견되었다. 해당 랜섬웨어는 원활한 암호화 동작을 수행하기 위해서 웹 브라우저와 같은 특정 프로세스 이외에 현재 시스템 권한으로 실행되고 있지 않은 모든 프로세스를 종료하고 파일을 암호화한다. 그리고 랜섬노트를 통해 10 유로를 지불하라고 협박하고 있어 사용자의 주의가 필요하다. “Namaste” 랜섬웨어 실행 시, 작업표시줄을 비활성화하고 현재 실행중인 프로세스를 검색하여 [표 1] 목록 이외에 모든 프로세스를 종료한다. 그리고 “WinDecrypt” 라는 이름으로 스케줄러에 등록하여, 시스템 시작 시 “Namaste” 랜섬웨어가 실행되도록 설정한다. 다음 [표 2] 암호화 대상 조건에 부합하는 파일을 암호화하고, “_enc” 확장자를 암호화한 파일에 덧붙인다. 파일을..