잉카인터넷 시큐리티대응센터 블로그

잉카인터넷 대응팀은 2021년 8월 27일부터 2021년 9월 2일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "LCRY"외 3건, 변종 랜섬웨어는 "BlackMatter"외 6건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 "Ragnarok" 랜섬웨어가 최근 운영을 종료하겠다는 의사를 밝혔으며 "MBC" 랜섬웨어 그룹이 새로운 데이터 유출 사이트를 게시해 이란 철도 시스템에서 탈취한 데이터를 추후에 공개하겠다고 밝혔다. 2021년 8월 27일 LCRY 랜섬웨어 파일명에 ".LCRY" 확장자를 추가하고 [그림 1]의 랜섬노트를 실행하는 "LCRY" 랜섬웨어가 발견됐다. BlackMatter 랜섬웨어 파일명에 ".[랜덤 문자열]" 확장자를 추가하고 "[랜덤 문자열].READ..

최근까지 유포됐던 Ragnarok 랜섬웨어가 운영을 종료한 것으로 보인다. 현재 Ragnarok 랜섬웨어가 운영하는 데이터 유출 사이트의 이름이 "Decrypt Site"로 변경되었으며 "DECRYPT"라는 제목의 게시글 이외에 모두 삭제됐다. 이에 대해 데이터 복호화 전문 기업인 "Emsisoft"에서는 유출 사이트에 게시된 복호화 툴을 이용하여 범용 복호화 툴을 제작하고 있으며 곧 출시될 것이라고 밝혔다. 출처 [1] Bleeping Computer (2021.08.27) – Ragnarok ransomware releases master decryptor after shutdown https://www.bleepingcomputer.com/news/security/ragnarok-ransomware..

잉카인터넷 대응팀은 2021년 7월 23일부터 2021년 7월 29일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 “Keversen” 외 2건, 변종 랜섬웨어는 “LegionLocker” 외 2건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 Egregor 랜섬웨어 대화 녹취록이 공개됐으며 Kaseya 측에서 “REvil” 랜섬웨어 디크립터를 획득했다고 알렸다. 또한, “LockBit” 랜섬웨어 v2.0 버전에서 기능이 추가됐고, “BlackMatter” 랜섬웨어를 사용하는 새로운 조직이 등장했다. 2021년 7월 23일 Keversen 랜섬웨어 파일명에 “.keversen” 확장자를 추가하고 “Recovery_Instructions.mht”라는 랜섬노트를 생성하는 “Keve..

랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된 데이터 유출 사이트 19곳의 정보를 취합한 결과이다. 2021년 4월(4월 1일 ~ 4월 30일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “Conti” 랜섬웨어가 38건으로 가장 많은 데이터 유출이 있었고, “Sodinokibi” 랜섬웨어가 32건으로 두번째로 많이 발생했다. 2021년 4월(4월 1일 ~ 4월 30일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 52%로 가장 높은 비중을 차지했고, 프랑스와 이탈리아가 각각 10%와 9%, 캐나다와 영국 각각 7%와 5%로 그 뒤를 따랐다. 2021년 4월(4월 1일 ~ 4월 30일)에 발생한 데이터 유출 건을 산업별로 ..

Ragnarok 랜섬웨어 감염주의 1. 개요 최근 언어 코드를 확인하여 감염 수행여부를 결정하는 Ragnarok 랜섬웨어가 발견되었다. 해당 랜섬웨어에는 특정 언어 코드와 일치하면 동작을 수행하지 않고, 그 외의 경우에는 랜섬웨어 동작을 수행한다. 한국어는 감염 대상에 포함되기 때문에 국내 사용자의 경우 감염의 위험이 크다. 만약 감염이 된다면 사용자의 PC를 암호화하고, 볼륨 섀도우를 삭제하여 복구를 불가능하도록 하고 금전을 요구한다. 이번 보고서에는 Ragnarok 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 이메일을 통해 유포되었을 것으로 추정된다. 2-3. 실행 과정 해당 랜섬웨어의 경우..