잉카인터넷 시큐리티대응센터 블로그

잉카인터넷 대응팀은 2021년 10월 29일부터 2021년 11월 04일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "CryptoCrazy"외 2건, 변종 랜섬웨어는 "BlackMatter"외 6건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 FBI에서 “HelloKitty” 랜섬웨어를 주의할 것을 권고했고, “BlackMatter” 랜섬웨어가 활동 중단을 선언한 이슈가 있었다. 2021년 10월 29일 BlackMatter 랜섬웨어 파일명을 “[랜덤 문자열].[랜덤 문자열]"로 변경하고 “[랜덤 문자열].README.txt”라는 랜섬노트를 생성하는 "BlackMatter" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 공격자의 C&C 서버와 연결을..

최근까지 유포됐던 BlackMatter 랜섬웨어가 운영을 중단한다고 발표했다. 해외 연구원에 따르면 해당 발표는 BlackMatter 랜섬웨어 갱단이 운영하는 홈페이지에 게시됐으며 지역 당국의 압력에 의해 운영을 중단 했다고 언급했다. 해당 게시글은 지난달 미국 연방수사국(FBI), 사이버보안 및 인프라 보안국(CISA) 에서 BlackMatter 랜섬웨어 권고문을 발표한 이후에 게시됐다. 사진출처 : 트위터 출처 [1] Securityaffairs (2021.11.04) - BlackMatter ransomware gang is shutting down due to pressure from law enforcement https://securityaffairs.co/wordpress/124135/cyb..

최근, 미국의 연방수사국(FBI), 사이버보안 및 인프라 보안국(CISA), 국가 안보국(NSA)에서 BlackMatter 랜섬웨어의 완화 및 대응 권장 사항에 대해 공동 권고문을 발표했다. BlackMatter 랜섬웨어는 수 많은 미국 기업을 대상으로 VMware ESXi 가상 머신, 네트워크 공유 드라이브 등을 암호화하여 큰 피해를 입힌 랜섬웨어이다. 해당 권고문에서는 BlackMatter 랜섬웨어의 위험을 줄이기 위해 네트워크 액세스 제한, 다중 인증, 강력한 암호 사용 등 공격 완화 및 대응 방법이 수록되어 있으며 이를 이행할 것을 권고한다. 출처 [1] US-CERT (2021.10.20) – Alert (AA21-291A) BlackMatter Ransomware https://us-cert...

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 23곳의 정보를 취합한 결과이다. 2021년 9월(9월 1일 ~ 9월 30일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 "LockBit" 랜섬웨어가 69건으로 가장 많은 데이터 유출이 있었고, "Conti" 랜섬웨어가 38건으로 두번째로 많이 발생했다. 2021년 9월(9월 1일 ~ 9월 30일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 51%로 가장 높은 비중을 차지했고, 영국과 이탈리아가 각각 7%와 6%, 캐나다와 프랑스가 4%로 그 뒤를 따랐다. 2021년 9월(9월 1일 ~ 9월 30일)에 발생한 데이터 유출 건을 산업별로 비교하였을 ..

최근 "BlackMatter" 랜섬웨어 조직이 직접 운영하는 데이터 유출 사이트에 국내 유명 식품업체에서 탈취했다고 주장하는 데이터 중 일부를 공개했다. 해커가 공개한 데이터에는 [그림 2]와 같이 해당 기업에서 탈취한 2021년도까지의 문서 및 사진 파일이 약 150GB가 존재했다. 이 중 [그림 3]과 같이 기업 직원들의 개인 정보가 포함된 파일과 기업의 중요한 문서가 다량 확인되고 있다. 최근 국내 기업을 대상으로 하는 사이버 공격이 자주 발견되고 있으며, 이에 따라 개인 정보 유출의 문제도 발생하고 있다. 따라서, 각 기업에서는 직원들의 보안의식을 높이고 내부 보안 시스템을 점검 및 관리해 안전성을 확보할 필요가 있다. 더불어 사이버 공격으로 인한 데이터 침입 및 유출을 인지한 경우 수사기관과 한..

해외 보안 업체 Sophos에서 최근 유행하는 랜섬웨어인 블랙매터(BlackMatter)와 다크사이드(DarkSide)가 유사하다고 알렸다. Sophos는 블로그 게시글을 통해 두 랜섬웨어가 변경하는 바탕화면이 매우 유사하며, 바탕화면을 변경하기 위해 사용하는 데이터의 저장 위치와 정보가 일치한다고 한다. 또한, 파일 암호화에 사용한 기술 등이 상당히 유사하다고 언급했다. 마지막으로 블랙매터와 다크사이드의 관계를 연결하는 요인이 다수 발견됐지만, 코드가 동일하지 않다는 점 등으로 인해 리브랜딩은 아니라고 결론지었다. 출처 [1] Sophos (2021.09.27) - BlackMatter ransomware emerges from the shadow of DarkSide https://news.sopho..

잉카인터넷 대응팀은 2021년 9월 10일부터 2021년 9월 16일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "FireCrypt"외 2건, 변종 랜섬웨어는 "BlackMatter"외 5건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 7월경 사이트를 폐쇄하고 자취를 감췄던 "REvil" 랜섬웨어 그룹이 다시 데이터 유출 사이트를 운영하기 시작한 이슈가 있었다. 2021년 9월 10일 BlackMatter 랜섬웨어 파일명에 ".[랜덤 문자열]" 확장자를 추가하고 "[랜덤 문자열].README.txt"라는 랜섬노트를 생성하는 "BlackMatter" 랜섬웨어의 변종이 발견됐다. Chaos 랜섬웨어 파일명에 ".CRYPTEDPAY" 확장자를 추가하고 "README.txt"라는..

잉카인터넷 대응팀은 2021년 7월 30일부터 2021년 8월 5일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "BlackMatter" 외 2건, 변종 랜섬웨어는 "Stop" 외 3건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 "Ryuk" 랜섬웨어의 빌더라고 주장했던 "Chaos" 랜섬웨어 빌더의 새로운 버전이 출시됐다. 2021년 8월 1일 BlackMatter 랜섬웨어 파일명에 ".[랜덤 문자열]" 확장자를 추가하고 "fwdHOW_TO_DECRYPT.txt"라는 랜섬노트를 생성하는 "BlackMatter" 랜섬웨어가 발견됐다. Stop 랜섬웨어 파일명에 ".nooa" 확장자를 추가하고 "_readme.txt"라는 랜섬노트를 생성하는 "Stop" 랜섬웨어의 변종이 발견..

잉카인터넷 대응팀은 2021년 7월 23일부터 2021년 7월 29일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 “Keversen” 외 2건, 변종 랜섬웨어는 “LegionLocker” 외 2건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 Egregor 랜섬웨어 대화 녹취록이 공개됐으며 Kaseya 측에서 “REvil” 랜섬웨어 디크립터를 획득했다고 알렸다. 또한, “LockBit” 랜섬웨어 v2.0 버전에서 기능이 추가됐고, “BlackMatter” 랜섬웨어를 사용하는 새로운 조직이 등장했다. 2021년 7월 23일 Keversen 랜섬웨어 파일명에 “.keversen” 확장자를 추가하고 “Recovery_Instructions.mht”라는 랜섬노트를 생성하는 “Keve..

BlackMatter 랜섬웨어 그룹이 발견되었다. 해당 그룹은 데이터 유출 사이트를 개설하였으며, 현재 유출 사이트에는 게시된 데이터가 존재하지 않는다. RecordedFuture 에 따르면 BlackMatter 그룹이 판매하는 랜섬웨어가 DarkSide, REvil 및 LockBit 랜섬웨어의 기능을 통합하였으며, 비영리 단체 및 정부 등의 경우 공격대상에서 제외된다고 알렸다. 또한, 해커 포럼에 기업 네트워크에 대한 액세스 구매 광고를 게시하였다. 사진 출처 : 다크웹 출처 [1] RecordedFuture (2021.07.29) - BlackMatter Ransomware Emerges As Successor to DarkSide, Revil https://www.recordedfuture.com/..