잉카인터넷 시큐리티대응센터 블로그

파일 암호화 중단을 선언했던 BabukLocker 랜섬웨어가 PayloadBIN 랜섬웨어로 새롭게 등장했다. BabukLocker 랜섬웨어의 데이터 유출 사이트 종료 이전에 게시된 "Hello World 4"라는 제목의 게시글에서는 암호화 중단과 함께 데이터 유출 만을 위한 거대한 플랫폼을 개발하고 있다는 내용을 담고 있었다. 그 후, "Payload.bin" 이라는 이름의 데이터 유출 사이트를 오픈했으며 현재는 아무런 게시글이 존재하지 않는 상황이다. 사진 출처 : https://twitter.com/malwrhunterteam/status/1399610423750627330 출처 [1] MalwareHunter Team (2021-06-07) https://twitter.com/malwrhuntert..

2021년 1월경 등장한 BabukLocker 랜섬웨어가 더 이상의 파일 암호화 작업을 중단할 것이라고 밝혔다. 4월 30일경 랜섬머니를 지불한 기업에 제공되는 복호화 툴에 문제가 많다는 이유로 더 이상 파일을 암호화 하지 않고, 데이터 탈취를 통해 금전을 갈취하는데 전념하겠다고 공지했다. 해당 랜섬웨어 측은 파일 암호화 작업 종료에 따라 탈취한 데이터를 삭제하고 싶으면 피해 기업에서 먼저 연락을 취하고, 만약 연락이 없다면 자신들이 운영하는 데이터 유출 사이트에 데이터를 게시하겠다고 알렸다. 출처 [1] BleepingComputer (2021.05.10) - Babuk quits ransomware encryption, focuses on data-theft extortion https://www.b..

랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된 데이터 유출 사이트 19곳의 정보를 취합한 결과이다. 2021년 4월(4월 1일 ~ 4월 30일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “Conti” 랜섬웨어가 38건으로 가장 많은 데이터 유출이 있었고, “Sodinokibi” 랜섬웨어가 32건으로 두번째로 많이 발생했다. 2021년 4월(4월 1일 ~ 4월 30일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 52%로 가장 높은 비중을 차지했고, 프랑스와 이탈리아가 각각 10%와 9%, 캐나다와 영국 각각 7%와 5%로 그 뒤를 따랐다. 2021년 4월(4월 1일 ~ 4월 30일)에 발생한 데이터 유출 건을 산업별로 ..

최근 “BabukLocker” 랜섬웨어가 발견되었다. ‘BabukLocker’ 랜섬웨어는 %USERPROFILE% 경로를 대상으로 암호화 하고, 볼륨 섀도우 복사본 삭제를 통해PC 복구가 불가능하도록 하며 랜섬노트를 통해 랜섬머니를 요구한다. 해당 랜섬웨어는 암호화 이전에 특정 프로세스를 종료시켜 더 많은 파일을 암호화하므로 주의가 필요하다. “BabukLocker” 랜섬웨어를 실행할 때 [표 1]에 해당하는 명령어를 이용하여 네트워크 드라이브를 암호화하는 루틴이 추가된다. 해당 랜섬웨어에 감염되면 %USERPROFILE% 경로 및 하위 폴더의 모든 확장자의 파일이 암호화 되며 암호화된 파일명의 확장자 뒤에 “.__NIST_K571__” 라는 이름의 확장자를 덧붙인다. 또한, 암호화 대상 폴더에 “How..