잉카인터넷 시큐리티대응센터 블로그

지난 7월 13일경, REvil 랜섬웨어 그룹은 자신들이 운영하는 데이터 유출 사이트를 폐쇄하고 운영을 중단하는 듯 보였으나 9월 7일, 데이터 유출 사이트가 다시 정상 운영되기 시작했다. 해킹 포럼에 "REvil"이라는 유저가 REvil 랜섬웨어 운영자였던 "Unknown"이 체포되어 운영을 잠시 중단했지만 본인이 다시 운영을 재개할 것이라는 글을 올렸다. REvil 유출 사이트에는 이전 피해 기업에 대한 유출 데이터가 그대로 게시된 것을 확인할 수 있었으며 추가적으로 새로운 피해 기업에서 탈취한 데이터들도 있었다. 사진 출처 : BleepingComputer 출처 [1] BleepingComputer (2021.09.14) – REvil ransomware is back in full attack m..

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된 데이터 유출 사이트 35곳의 정보를 취합한 결과이다. 2021년 7월(7월 1일 ~ 7월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 "LockBit" 랜섬웨어가 31건으로 가장 많은 데이터 유출이 있었고, "Conti" 랜섬웨어가 25건으로 두번째로 많이 발생했다. 2021년 7월(7월 1일 ~ 7월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 32%로 가장 높은 비중을 차지했고, 영국과 프랑스, 독일이 각각 10%와 6%, 스페인과 이탈리아가 각각 5%로 그 뒤를 따랐다. 2021년 7월(7월 1일 ~ 7월 31일)에 발생한 데이터 유출 건을 산업별로..

최근 Kaseya가 "REvil" 랜섬웨어 디크립터를 획득했다. Kaseya 측은 제 3자로부터 디크립터를 획득했으며, Emsisoft와 협력해 유효성 검사를 완료했다고 밝혔다. 또한, 이번 사건의 영향을 받은 고객들에게 디크립터를 배포해 시스템을 복원하도록 적극 지원하고 있다고 공지했다. 사진 출처 : Kaseya 출처 [1] Kaseya (2021.07.26) – Updates Regarding VSA Security Incident https://www.kaseya.com/potential-attack-on-kaseya-vsa/

지난 7월 2일경, Kaseya VSA 제품의 On-Premise 고객이 사이버 공격의 표적이 되었으며 Kaseya 측은 조사가 완료될 때까지 사용중인 VSA 서버를 즉시 종료할 것을 권고했다. 또한, Kaseya는 공격 당시 전 세계적으로 약 40명 미만의 피해 고객이 발생했다고 발표했으며 해당 기업의 제품을 이용하는 나머지 고객들이 피해를 입지 않도록 하기 위해 SaaS 서버를 일시적으로 종료하는 조치를 취했다고 밝혔다. 현재 CISA, FBI와 협력하여 이번 공격에 대해 조사중에 있다고 알렸으며 공격의 배후로 "Sodinokibi(REvil)" 랜섬웨어 그룹을 지목했다. 현재까지 지속적으로 피해 사례가 증가하고 있고, 추가적으로 Keseya VSA 보안 업데이트로 위장한 "Cobalt Strike"..

1. 랜섬웨어 피해 사례 2021년 2분기(4월 1일 ~ 6월 30일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 "콘티(Conti)", "도플페이머(DoppelPaymer)", "소디노키비(Sodinokibi)" 등의 랜섬웨어로 인한 피해가 다수 발견되었다. 4월에는 영국 철도 네트워크 기업 Merseyrail이 "락빗(LockBit)" 랜섬웨어 공격을 받았고, 5월과 6월에는 캐나다 운송 업체 Canada Post와 대만 메모리 및 스토리지 제조업체 ADATA가 각각 "로렌즈(Lorenz)"와 "라그나락커(RagnarLocker)" 랜섬웨어 공격을 받아 피해가 발생했다. 소디노키비(Sodinokibi) 랜섬웨어 피해 사례 레빌(REvil)로도 불리는 소디노키비 랜섬웨어가 1분기에 이어 2분기에도..

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된 데이터 유출 사이트 23곳의 정보를 취합한 결과이다. 2021년 6월(6월 1일 ~ 6월 30일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 "Conti" 랜섬웨어가 66건으로 가장 많은 데이터 유출이 있었고, "Sodinokibi" 랜섬웨어가 18건으로 두번째로 많이 발생했다. 2021년 6월(6월 1일 ~ 6월 30일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 58%로 가장 높은 비중을 차지했고, 프랑스와 이탈리아가 각각 10%와 5%, 캐나다와 독일이 각각 3%와 3%로 그 뒤를 따랐다. 2021년 6월(6월 1일 ~ 6월 30일)에 발생한 데이터 유출 건을 산..

최근 REvil 랜섬웨어의 변종이 등장했다. REvil 랜섬웨어 운영진은 러시아어를 사용하는 포럼에 NAS 서버에서 실행 가능한 REvil 랜섬웨어의 Linux 변종을 출시했다고 알렸다. 해당 변종은 Windows 버전과 동일한 옵션을 사용하며, VMware ESXi 가상머신을 사용하는 환경에서도 파일 암호화가 가능하다. 출처 : https://twitter.com/y_advintel/status/1391450354051653633 출처 [1] Twitter (2021.06.29) – Revil 랜섬웨어 변종 관련 게시글 https://twitter.com/y_advintel/status/1391450354051653633

브라질 헬스케어 회사인 Grupo Fleury가 사이버 공격을 받아 서비스가 중단 됐다. 해당 업체는 웹사이트에 "외부로부터 공격을 받아 현재 시스템을 사용할 수 없으며, 서비스 복원을 우선순위로 하고 있다"는 공지를 게시했다. BleepingComputer 측은 Grupo Fleury가 REvil 랜섬웨어의 공격을 받았으며, 공유받은 랜섬웨어 샘플 및 도난파일에 대한 유출과 암호해독을 빌미로 500달러의 랜섬머니를 요구하고 있다고 알렸다. Grupo Fleury는 환자 개인정보 및 의료정보 탈취 여부 등에 대한 공식적인 답변을 하지 않고 있다. 사진 출처 : https://www.fleury.com.br/ 출처 [1] BleepingComputer (2021.06.28) – Healthcare gian..

랜섬머니로 단기간에 수 십억 달러를 벌어들인 새로운 랜섬웨어 그룹 “Prometheus”와 “Grief” 가 등장했다. "Prometheus" 랜섬웨어 그룹은 멕시코 정부를 공격하여 데이터를 훔친 이력이 있으며 총 27개의 탈취한 데이터를 자신들이 운영하는 데이터 유출 사이터에 게시한 것으로 알려졌다. 또한, 데이터 유출 사이트에 'Prometheus – group of REvil' 이라는 웹 페이지 이름을 가지고 있어 Sodinokibi(REvil) 랜섬웨어와의 연결고리가 있을 것으로 추정된다. "Grief" 랜섬웨어 그룹은 자신들이 운영하는 데이터 유출 사이트에 총 10개의 탈취 데이터를 게시했다. 또한, 해당 웹 페이지는 GDPR 33조를 인용하여 72시간 이내에 보안 감독기관에 데이터 침해 사실을..