잉카인터넷 시큐리티대응센터 블로그

잉카인터넷 대응팀은 2022년 3월 18일부터 2022년 3월 24일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "GoodWill" 1건, 변종 랜섬웨어는 "CryptoJoker" 외 3건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 우크라이나의 연구원이 "Conti" 랜섬웨어와 관련해서 소스 코드를 유출한 이슈가 있었다. 2022년 3월 19일 CryptoJoker 랜섬웨어 파일명에 ".fully.fucked" 또는 ".partially.fucked" 확장자를 추가하고 "CAD Recovery Information.txt"라는 랜섬노트를 생성하는 "CryptoJoker" 랜섬웨어의 변종이 발견됐다. Hive 랜섬웨어 파일명에 ".key.4g3j7" 확장자를 추가하고 "x..

최근 VMware ESXi 가상 머신을 대상으로 공격할 수 있는 기능을 추가한 "AvosLocker" 랜섬웨어의 리눅스 변종이 발견됐다. 외신은 해당 랜섬웨어가 VMware에서 제공하는 커맨드 라인 툴인 esxcli를 사용해 서버의 모든 ESXi 관련 시스템을 종료한다고 알렸다. 이후, “AvosLocker” 랜섬웨어는 암호화한 파일에 ".avoslinux" 확장자를 추가하고 "README_FOR_RESTORE"라는 이름의 랜섬노트를 생성해 감염된 PC의 사용자에게 랜섬머니를 요구한다. 사진 출처 : Twitter 출처 [1] Twitter (2022-01-25) - AvosLocker 리눅스 버전 관련 내용 트위터 게시글 https://twitter.com/ChristiaanBeek/status/148..

1. 랜섬웨어 피해 사례 2021년 4분기(10월 1일 ~ 12월 31일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 "콘티(Conti)", "아보스락커(AvosLocker)" 등의 랜섬웨어로 인한 피해가 다수 발견되었다. 10월에는 대만의 유명 하드웨어 제조 업체 Gigabyte가 "콘티(Conti)" 랜섬웨어 공격을 받았고, 11월과 12월에는 글로벌 소매 업체 MediaMarkt와 미국 제조 업체 McMenamins가 각각 "아보스락커(AvosLocker)"와 "콘티(Conti)" 랜섬웨어 공격을 받아 피해가 발생했다. 콘티(Conti) 랜섬웨어 피해 사례 콘티(Conti) 랜섬웨어는 위자드 스파이더(Wizard Spider)라고 불리는 러시아 사이버 범죄 조직에 의해 운영되는 것으로 알려졌다..

최근 "AvosLocker" 랜섬웨어 조직이 미국의 정부 기관을 공격한 후, 무료로 복호화 툴을 제공한 정황이 알려졌다. 외신에 따르면 "AvosLocker" 측이 무료로 복호화 툴을 제공한 이유가 법 집행에 대한 두려움 보다는 돈을 받기 어렵기 때문이라고 언급했다고 알렸다. 또한, 공격 대상에 대한 정책은 별도로 없지만, 일반적으로 정부 기관과 병원은 피한다고 밝혔다. 사진 출처 : Twitter 출처 [1] Twitter (2021.12.30) – AvosLocker 관련 트위터 게시글 https://twitter.com/pancak3lullz/status/1476217440442925057 [2] BleepingComputer (2021.12.30) - Ransomware gang coughs up..

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 23곳의 정보를 취합한 결과이다. 2021년 10월(10월 1일 ~ 10월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 "LockBit" 랜섬웨어가 59건으로 가장 많은 데이터 유출이 있었고, "Conti" 랜섬웨어가 58건으로 두번째로 많이 발생했다. 2021년 10월(10월 1일 ~ 10월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 51%로 가장 높은 비중을 차지했고, 영국과 이탈리아가 각각 7%와 6%, 캐나다와 프랑스가 4%로 그 뒤를 따랐다. 2021년 10월(10월 1일 ~ 10월 31일)에 발생한 데이터 유출 건을 산업..

잉카인터넷 대응팀은 2021년 9월 24일부터 2021년 9월 30일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "HotCoffee" 1건, 변종 랜섬웨어는 "Stop" 외 2건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 BlackMatter 랜섬웨어와 DarkSide 랜섬웨어 사이의 유사점이 발견됐으며 "RansomEXX" 그룹의 Linux 랜섬웨어에서 오점을 발견했다. 2021년 9월 24일 Jigsaw 랜섬웨어 파일명에 ".fun" 확장자를 추가하고 [그림 1]의 랜섬노트를 실행하는 "Jigsaw" 랜섬웨어의 변종이 발견됐다. BlackMatter 랜섬웨어와 DarkSide 랜섬웨어 사이의 유사점 발견 2021년 7월에 처음 등장한 "BlackMatter" 랜섬웨어..

잉카인터넷 대응팀은 2021년 8월 6일부터 2021년 8월 12일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 “Divinity” 외 2건, 변종 랜섬웨어는 “Zeppelin” 외 6건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 Conti 랜섬웨어 조직의 교육자료가 계열사에 의해 유출된 이슈가 있었다. 2021년 8월 6일 Conti 랜섬웨어 조직 교육자료 유출 최근 Conti 랜섬웨어 조직의 교육자료가 계열사에 의해 유출됐다. 유출된 정보에는 Cobalt Strike C2 서버의 IP 주소와 랜섬웨어 공격 수행에 필요한 도구 및 교육 자료가 포함됐다. 2021년 8월 7일 Zeppelin 랜섬웨어 파일명에 “.payfast500 .XXX-XXX-XXX” 확장자를 추가하..

잉카인터넷 대응팀은 2021년 7월 16일부터 2021년 7월 23일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "MiniWorld" 외 4건, 변종 랜섬웨어는 "Dharma" 외 3건이 발견됐다. 또한, VMware의 ESXi 플랫폼을 대상으로 공격하는 "HelloKitty" 랜섬웨어의 변종이 등장했다. 2021년 7월 16일 Dharma 랜섬웨어 파일명에 ".id[사용자 ID].[공격자 메일].DLL" 확장자를 추가하고 "info.txt"라는 랜섬노트를 생성하는 "Dharma" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 방화벽 사용을 해제한다. Stop 랜섬웨어 파일명에 ".zzla" 확장자를 추가하고 "_readme.txt"라는 랜섬노트..

최근 "AvosLocker"라는 랜섬웨어 그룹이 등장했다. AvosLocker 그룹은 2021년 6월부터 활동한 것으로 알려졌으며, 주로 스팸 메일을 사용해 랜섬웨어를 유포한다. 만약, 해당 랜섬웨어가 실행되면 사용자 PC의 파일을 암호화한 후 ".avos" 확장자를 추가하고 "GET_YOUR_FILES_BACK.txt"라는 랜섬노트를 생성한다. 또한, 사용자가 랜섬머니를 지불하지 않으면 직접 운영하는 데이터 유출 사이트에 피해자의 이름과 정보를 게시하므로 주의가 필요하다. 출처 [1] cyble (2021.07.22) – AvosLocker Under The Lens: A New Sophisticated Ransomware Group https://blog.cyble.com/2021/07/15/avos..