잉카인터넷 시큐리티대응센터 블로그

Evil Corp 사이버 공격 그룹의 후속 랜섬웨어로 지목됐던 PayloadBIN의 운영진이 자신들의 데이터 유출 사이트에 입장 발표글을 게시했다. PayloadBIN 운영진은 프랑스 보안 회사로부터 시작된 Evil Corp와 연관이 있다는 추측에 대해 반박했다. 또한, PayloadBIN은 그 어떤 사이버 그룹과 연관이 없으며 데이터 유출을 위한 독립적인 그룹이라고 밝혔다. 해당 게시글은 PayloadBIN 운영진이 직접 표명한 글일 뿐 Evil Corp 사이버 공격 그룹이 법적 제재를 피하기 위해 리브랜딩한 것에 대한 가능성은 열려있는 것으로 추측된다. 출처 : Payload.bin 데이터 유출 사이트

잉카인터넷 대응팀은 2021년 6월 4일부터 2021년 6월 10일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Mcburglar" 외 2건, 변종 랜섬웨어는 "Dharma" 외 6건이 발견됐다. 또한, "PayloadBIN" 랜섬웨어 조직은 "BabukLocker" 랜섬웨어의 변종으로 기존의 데이터 유출 사이트를 중단하고, "Payload.bin"이라는 데이터 유출 사이트를 개설했다. 2021년 6월 4일 Dharma 랜섬웨어 파일명에 ".[사용자 ID].[공격자 메일].cnc" 확장자를 추가하고 [그림 1]의 랜섬노트를 실행하는 "Dharma" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다. Mcburglar 랜섬웨어 파일명에 ".mcburg..

파일 암호화 중단을 선언했던 BabukLocker 랜섬웨어가 PayloadBIN 랜섬웨어로 새롭게 등장했다. BabukLocker 랜섬웨어의 데이터 유출 사이트 종료 이전에 게시된 "Hello World 4"라는 제목의 게시글에서는 암호화 중단과 함께 데이터 유출 만을 위한 거대한 플랫폼을 개발하고 있다는 내용을 담고 있었다. 그 후, "Payload.bin" 이라는 이름의 데이터 유출 사이트를 오픈했으며 현재는 아무런 게시글이 존재하지 않는 상황이다. 사진 출처 : https://twitter.com/malwrhunterteam/status/1399610423750627330 출처 [1] MalwareHunter Team (2021-06-07) https://twitter.com/malwrhuntert..