잉카인터넷 시큐리티대응센터 블로그

잉카인터넷 대응팀은 2022년 2월 25일부터 2022년 3월 3일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 변종 랜섬웨어는 "Conti" 외 4건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 우크라이나의 연구원이 Conti 랜섬웨어 관련 내부 자료를 공개한 이슈가 있었다. 2022년 2월 25일 Conti 랜섬웨어 파일명에 ".VJBZF" 확장자를 추가하고 "readme.txt"라는 랜섬노트를 생성하는 "Conti" 랜섬웨어의 변종이 발견됐다. 2022년 2월 27일 Avaddon 랜섬웨어 파일명에 ".BbcDaDdbAD" 확장자를 추가하고 "9gycj_readme_.txt"라는 랜섬노트를 생성하는 "Avaddon" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다..

잉카인터넷 대응팀은 2021년 6월 11일부터 2021년 6월 17일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Slam" 외 3건, 변종 랜섬웨어는 "Nefilim" 외 1건이 발견됐다. 이 중, 류크 랜섬웨어 빌더로 주장하는 악성 빌더가 발견됐고, "Avaddon" 랜섬웨어 운영진이 운영 중단을 위해 복호화 키를 공개했다. 또한, 러시아어를 사용하는 해킹 포럼에 "Paradise" 랜섬웨어의 소스 코드가 공개됐고, 우크라이나 경찰이 "Clop" 랜섬웨어 운영진을 체포한 사건이 있었다. 2021년 6월 11일 Slam 랜섬웨어 파일명에 ".SLAM" 확장자를 추가하고 [그림 1]의 랜섬노트를 생성하는 "Slam" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 작업 관리자 실..

Advanced Intel이 Avaddon 랜섬웨어 조직의 피해자에 대한 분석 결과를 공개했다. Advanced Intel이 공개한 보고서에 따르면 Avaddon 랜섬웨어 공격의 피해자가 가장 많은 국가는 미국과 캐나다 순이다. 이에 반해 러시아 또는 독립국가연합(CIS)에는 피해자가 없었다고 한다. 또한, Avaddon 랜섬웨어 조직은 소매업, 제조업 및 금융 순으로 공격 목표를 선정했으며, 이로 인한 해당 조직의 총 수입은 약 8,700만 달러에 달한다고 알려졌다. 출처 [1] advanced-intel (2021.06.16) - The Rise & Demise of Multi-Million Ransomware Business Empire https://www.advanced-intel.com/pos..

Avaddon 랜섬웨어 조직이 운영을 중단하고 암호 복호화 키를 공개했다. BleepingComputer 측은 FBI에서 보낸 것으로 위장한 익명의 제보를 받았으며, 비밀번호와 암호화된 ZIP 파일에 대한 링크가 포함되어 있었다고 알렸다. 보안회사 Emsisoft는 해당 복호화 키를 기반으로 Avaddon 랜섬웨어 암호 해독기를 배포했다. 압축파일은 "AvaddonDecryptionKeys"라고 주장하는 아래 3개의 파일이 포함되어 있었으며, 해당 키를 보안업체 Emsisoft에 공유하여 테스트한 결과 Avaddon 랜섬웨어에 감염된 시스템을 복구할 수 있었다고 밝혔다. Emsisoft 측은 해당 복호화 키를 기반으로 Avaddon 랜섬웨어 암호 해독기를 무료로 배포했으며, "최근 주요 사법기관의 조치로..

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된 데이터 유출 사이트 23곳의 정보를 취합한 결과이다. 2021년 5월(5월 1일 ~ 5월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 "Conti" 랜섬웨어가 62건으로 가장 많은 데이터 유출이 있었고, "DoppelPaymer" 및 "Sodinokibi" 랜섬웨어가 20건으로 두번째로 많이 발생했다. 2021년 5월(5월 1일 ~ 5월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 47%로 가장 높은 비중을 차지했고, 프랑스와 독일이 각각 8%, 영국과 이탈리아가 각각 7%와 6%로 그 뒤를 따랐다. 2021년 5월(5월 1일 ~ 5월 30일)에 발생한 ..

잉카인터넷 대응팀은 2021년 3월 5일부터 2021년 3월 11일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 “Hog” 외 6건, 변종 랜섬웨어는 “Makop” 외 5건이 발견됐다. 이 중, “Sarbloh” 랜섬웨어는 “2020년 인도 농업법”에 반대하는 세력이 유포했다고 추정되고, “DearCry” 랜섬웨어는 지난 메인 이슈였던 Microsoft Exchange Server 취약점을 악용하여 유포됐다. 2021년 3월 5일 Hog 랜섬웨어 “Hog” 랜섬웨어는 디스코드 사용자를 대상으로 파일을 암호화한다. 해당 랜섬웨어는 확장자를 ". hog"로 바꾸고, " DECRYPT-MY-FILES.exe" 라는 이름의 랜섬노트를 생성한다. 2021.03.17 - [최신 보..