잉카인터넷 시큐리티대응센터 블로그

잉카인터넷 대응팀은 2021년 3월 19일부터 2021년 3월 25일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 “SFile” 외 4건, 변종 랜섬웨어는 “Sodinokibi (REvil)” 외 3건이 발견됐다. 이 중, 안전 모드에서 실행하도록 기능을 추가한 “REvil” 랜섬웨어가 발견됐고, “BlackKingdom” 랜섬웨어는 Microsoft Exchange Server 취약점을 악용하여 유포됐다. 2020년 3월 19일 SFile 랜섬웨어 파일명에 “.Technomous-zbtrqyd“ 확장자를 추가하고 “how_to_recover_damaged_documents.txt"라는 랜섬노트를 생성하는 "SFile" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 특정 프로세스..

최근 원격 교육 및 업무의 비중이 늘어남에 따라 네트워크 사용빈도가 늘어나고, 광범위한 연결성을 가진 기업의 운영기술 환경(OT)이 많아졌으며 이러한 이유로 DDoS 공격이 효과적인 공격이 되었다. 이에 따라 DDoS 공격을 통해 금전을 요구하는 “랜섬디도스” 공격이 증가하였으며 랜섬웨어 공격 그룹은 추가적으로 DDoS 공격을 하겠다고 위협하기 시작했다. 암호 화폐의 가치가 높아지면서 불법적인 암호 화폐 채굴 악성코드가 성행하기 시작했고, 랜섬머니 이외의 추가적인 이득을 얻기 위해 랜섬웨어 공격 그룹은 랜섬웨어와 함께 암호화폐 채굴 악성코드를 실행시키는 “랜섬마이너”가 다시 등장하였다. 이처럼 랜섬웨어는 더 많은 금전적 이득을 챙기기 위해 더 이상 파일 암호화에 국한되지 않고, 트렌드에 맞춘 악성코드를 ..

잉카인터넷 대응팀은 2021년 3월 12일부터 2021년 3월 18일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 “RunExeMemory” 외 4건, 변종 랜섬웨어는 “Dharma” 외 2건이 발견됐다. 이 중, FBI가 교육 기관을 대상으로 공격하는 “Mespinoza” 랜섬웨어의 활동이 증가했다고 경고했다 2021년 3월 13일 Dharma 랜섬웨어 파일명에 ".id-[사용자 ID].[공격자 메일].pirat" 확장자를 추가하고 "FILES ENCRYPTED.txt"라는 랜섬노트를 생성하는 " Dharma" 랜섬웨어의 변종이 발견됐다. 2020.03.05 - [분석 정보/랜섬웨어 분석 정보] - [랜섬웨어 분석] Dharma 랜섬웨어 2021년 3월 16일 RunE..

잉카인터넷 대응팀은 2021년 3월 5일부터 2021년 3월 11일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 “Hog” 외 6건, 변종 랜섬웨어는 “Makop” 외 5건이 발견됐다. 이 중, “Sarbloh” 랜섬웨어는 “2020년 인도 농업법”에 반대하는 세력이 유포했다고 추정되고, “DearCry” 랜섬웨어는 지난 메인 이슈였던 Microsoft Exchange Server 취약점을 악용하여 유포됐다. 2021년 3월 5일 Hog 랜섬웨어 “Hog” 랜섬웨어는 디스코드 사용자를 대상으로 파일을 암호화한다. 해당 랜섬웨어는 확장자를 ". hog"로 바꾸고, " DECRYPT-MY-FILES.exe" 라는 이름의 랜섬노트를 생성한다. 2021.03.17 - [최신 보..

Sarbloh 랜섬웨어 분석 보고서 최근 “2020년 인도 농업법”에 반대하는 시위가 일어났으며 법안에 대해 반대하는 세력이 “Sarbloh” 랜섬웨어를 유포하기 시작했다. [그림 1]의 최 하단부에 기재된 힌디어인 “Khalsa Cyber Fauj” 를 해석하면 “칼사의 사이버 부대” 라는 뜻으로, 칼사(Khalsa)란 시크교도들을 가리키는 말이며 이번 법안에 가장 큰 피해를 입은 무리이다. 또한, 랜섬웨어의 이름인 “Sarbloh”는 칼사가 과거에 사용했던 검을 만들 때 사용하는 금속으로 시크교도들의 투쟁 의지를 나타낸다. “Sarbloh” 랜섬웨어는 피싱 메일에 악성 문서 파일을 첨부해 유포되고 있으며, 해당 문서 파일의 내부 매크로에 의해 페이로드를 다운로드하고, 실행시킨다. 실행된 “Sarblo..

"HelloKitty" 랜섬웨어는 자사 블로그에 Hyper-V 사용자를 공격하는 신종 랜섬웨어 이슈와 CD PROJEKT RED 피해 이슈로 인해 분석돼 게시된 바 있다. 최근 해당 랜섬웨어의 추가 조사 결과, 기존에 게시된 이슈 외의 피해사례와 관련 샘플을 획득했고 랜섬노트 상단에 공격 대상으로 지정한 기업을 명시한다는 특징을 발견했다. 랜섬노트 지난 2월, 비디오 게임 업체인 CD PROJEKT RED가 “HelloKitty” 랜섬웨어 공격을 받아 운영에 차질을 빚었다. 피해 기업은 사이버 공격을 당한 직후, 공식 트위터를 통해 랜섬웨어 공격을 받았다는 사실을 알리고, 감염된 PC에서 발견된 랜섬노트를 공개했다. 이들이 공개한 랜섬노트는 피해 기업명인 CD PROJEKT로 시작하며 Cyberpunk ..

DoppelPaymer 랜섬웨어 INDRIK SPIDER 및 TA505로도 알려진 러시아 모스크바의 Evil Corp 사이버 범죄 그룹은 Dridex와 함께 BitPaymer 랜섬웨어를 유포하기 시작했다. 그 후 BitPaymer와 유사하지만 특정 프로세스를 종료 시켜 많은 파일을 암호화할 수 있고, 네트워크 명령을 통해 로컬 네트워크 및 다른 호스트의 IP 주소를 검색하는 기능을 추가한 DoppelPaymer가 2019년 6월 공개되었다. 하지만 DoppelPaymer의 출처가 Evil Corp 그룹과 연관이 있다는 추정이 있을 뿐 정확한 증거는 존재하지 않았다. 피해 사례 2020년부터 “DoppelPaymer” 랜섬웨어는 주로 자금이 충분한 기업 및 정부를 대상으로 유포되었으며, 많은 금액의 랜섬머..

현재 인터넷 사이트를 통해 국내 유출 신용카드 정보 100만 건이 공유되고 있다. 확인된 웹사이트는 구글 등의 검색엔진을 통해 검색이 가능한 일반적인 인터넷 사이트로, 누구나 쉽게 유출된 신용카드 정보를 획득할 수 있는 상황이다. 이로써 해당 신용카드 정보의 부정 사용 가능성이 훨씬 높아질 것으로 보인다. 인터넷을 통해 공유되고 있는 신용카드 정보는 작년 11월 말 클롭 랜섬웨어 (CLOP Ransomware)가 이랜드 그룹 에서 탈취했다고 주장하는 신용카드 정보 중 100만 건으로 처음 다크웹을 통하여 공개 됐다. 다크웹은 검색 서비스가 활성화되지 않아 원하는 정보를 찾는 것이 매우 어려우며 일반인이 접근하기 쉽지 않아 해당 정보가 널리 퍼지지 않을 것으로 예상되었으나, 정보가 공개된 웹사이트는 다크웹..

국내/외 랜섬웨어 피해 사례 2021년 2월(2월 1일 ~ 2월 28일) 한 달간 랜섬웨어 동향을 조사한 결과, “HelloKitty” 랜섬웨어가 폴란드 비디오 게임 개발 업체 CD PROJEKT RED를 공격했다. 또한, “DoppelPaymer” 랜섬웨어가 국내 자동차 기업의 미국 지사를 공격했고, 미국 자동 자금 이체 서비스 제공 업체인 AFTS가 “Cuba” 랜섬웨어 공격을 받아 데이터가 유출된 사건이 있었다. 폴란드 비디오 게임 개발 업체 CD PROJEKT RED, HelloKitty 랜섬웨어 피해 사례 지난 11월 처음 발견된 “Hellokitty” 랜섬웨어에 의해 CD PROJEKT RED가 공격을 받았다. 이번 공격으로 인해 피해 기업은 일부 시스템이 암호화되어 업무에 지장을 받았고, 공..

지난 11월 처음 발견된 “HelloKitty” 랜섬웨어에 의한 피해 사례가 꾸준히 발견되고 있으며, 최근에는 비디오 게임 개발 업체인 CD PROJEKT RED를 공격한 정황이 포착됐다. 이번 공격으로 인해 피해 기업은 일부 시스템이 암호화되어 업무에 지장을 받았고, 감염된 시스템에 남겨진 랜섬노트에 따르면 “HelloKitty” 랜섬웨어 운영진들이 해당 기업에서 정보를 탈취했다고 알려졌다. 해당 사건이 발생한 후, 피해 업체는 공식 트위터에 사이버 공격을 당했고 이로 인한 몸값 지불 및 협상을 하지 않겠다는 내용을 게시했다. “HelloKitty”에 감염되면 폴더마다 “read_me_lkd.txt”란 이름의 랜섬노트를 생성하여 사용자에게 감염사실을 알린다. 하지만, 이번 CD PROJEKT RED 공..