잉카인터넷 시큐리티대응센터 블로그

1. 랜섬웨어 피해 사례 2022년 4분기(10월 1일 ~ 12월 31일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 “락빗(LockBit)”, “블랙캣(BlackCat)” 및 “플레이(Play)” 등의 랜섬웨어로 인한 피해가 다수 발견됐다. 10월에는 일본 제조 업체 Ohmiya가 “락빗” 랜섬웨어 공격을 받았고, 11월과 12월에는 호주 부동산 업체 LJ Hooker와 미국 클라우드 서비스 업체 Rackspace가 각각 “블랙캣”과 “플레이” 랜섬웨어 공격을 받아 피해가 발생했다. 락빗(LockBit) 랜섬웨어 피해 사례 락빗(LockBit) 랜섬웨어를 사용하는 조직이 4분기에도 꾸준한 활동량을 보이고 있다. 지난 3분기에 랜섬웨어 빌더가 유출된 이후 다수의 변종 등장과 함께 락빗 랜섬웨어의 피..

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 37곳의 정보를 취합한 결과이다. 2022년 12월(12월 1일 ~ 12월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “LockBit” 랜섬웨어가 53건으로 가장 많은 데이터 유출이 있었고, “Hive” 랜섬웨어가 16건으로 두번째로 많이 발생했다. 2022년 12월(12월 1일 ~ 12월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 31%로 가장 높은 비중을 차지했고, 프랑스와 영국이 6%, 캐나다가 5%로 그 뒤를 따랐다. 2022년 12월(12월 1일 ~ 12월 31일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/..

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 37곳의 정보를 취합한 결과이다. 2022년 11월(11월 1일 ~ 11월 30일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “LockBit” 랜섬웨어가 51건으로 가장 많은 데이터 유출이 있었고, “Vice Society” 랜섬웨어가 12건으로 두번째로 많이 발생했다. 2022년 11월(11월 1일 ~ 11월 30일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 36%로 가장 높은 비중을 차지했고, 독일과 캐나다가 5%, 브라질 및 영국, 태국 등이 각각 4%로 그 뒤를 따랐다. 2022년 11월(11월 1일 ~ 11월 30일)에 발생한 데이터 ..

피해자의 디스코드 토큰을 탈취하는 “AXLocker” 랜섬웨어가 발견됐다. 해당 랜섬웨어를 유포한 공격자는 디스코드에서 제공하는 웹훅 기능을 악용해 사용자 PC에서 수집한 정보를 직접 운영하는 디스코드 채팅 방으로 전송한다. 또한, 파일의 속성을 변경해 육안으로 발견되지 않도록 숨기고, 파일을 암호화한 후 랜섬노트를 띄운다. “AXLocker” 랜섬웨어를 실행하면 사용자 PC의 파일을 암호화하며, 암호화가 완료된 파일은 파일 명에 확장자를 추가하지 않고 원본 파일 명을 그대로 사용한다. 암호화 과정이 완료되면 [그림 1]의 랜섬노트를 띄운다. 암호화 진행 대상은 [표 1]의 암호화 제외 폴더를 제외한 경로에서 암호화 대상 확장자를 지닌 파일이다. 또한, 사용자에게 파일이 보이지 않도록 [그림 2]와 같이..

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 37곳의 정보를 취합한 결과이다. 2022년 10월(10월 1일 ~ 10월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “LockBit” 랜섬웨어가 73건으로 가장 많은 데이터 유출이 있었고, “BlackCat(AlphaV)” 랜섬웨어가 23건으로 두번째로 많이 발생했다. 2022년 10월(10월 1일 ~ 10월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 32%로 가장 높은 비중을 차지했고, 프랑스가 7%, 영국 및 캐나다, 대만, 태국 등이 각각 5%로 그 뒤를 따랐다. 2022년 10월(10월 1일 ~ 10월 31일)에 발생한 ..

1. 랜섬웨어 피해 사례 2022년 3분기(7월 1일 ~ 9월 30일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 “락빗(LockBit)”, “라그나락커(RagnarLocker)” 및 “하이브(Hive)” 등의 랜섬웨어로 인한 피해가 다수 발견됐다. 7월에는 미국 유통 업체 Gensco가 “라그나락커(RagnarLocker)” 랜섬웨어 공격을 받았고, 8월과 9월에는 미국 보안 업체 Entrust와 프랑스 의류 업체 Damart가 각각 “락빗(LockBit)”과 “하이브(Hive)” 랜섬웨어 공격을 받아 피해가 발생했다. 락빗(LockBit) 랜섬웨어 피해 사례 락빗(LockBit) 랜섬웨어가 3분기에서도 꾸준한 활동량을 보이고 있다. 지난 9월, 해당 랜섬웨어 조직의 구성원으로 추정되는 개발자에 ..

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 37곳의 정보를 취합한 결과이다. 2022년 9월(9월 1일 ~ 9월 30일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “LockBit” 랜섬웨어가 142건으로 가장 많은 데이터 유출이 있었고, “Hive” 랜섬웨어가 6건으로 두번째로 많이 발생했다. 2022년 9월(9월 1일 ~ 9월 30일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 27%로 가장 높은 비중을 차지했고, 프랑스가 12%, 이탈리아가 5%, 스페인, 영국 및 대만이 각각 4%로 그 뒤를 따랐다. 2022년 9월(9월 1일 ~ 9월 30일)에 발생한 데이터 유출 건을 산업별로 비..

최근 “BlueSky” 랜섬웨어가 새롭게 등장했다. 해당 랜섬웨어는 “Conti”, “Babuk” 랜섬웨어와 유사한 암호화 루틴을 갖고있다. 또한, 주로 윈도우 호스트를 대상으로 하여 더 빠른 암호화를 위해 멀티 쓰레딩 기법을 사용하는 특징이 있다. (멀티 쓰레딩 : 다량의 쓰레드를 생성해 각자 역할을 할당하고, 동시 다발적으로 동작을 수행하여 효과적이고 빠른 암호화를 수행할 수 있다.) “BlueSky” 랜섬웨어는 사용자 PC에 적용된 모든 드라이브 대상으로 암호화를 수행하고, 랜섬노트를 드랍한다. 랜섬노트에는 암호화된 파일을 빌미로 금전을 요구한다. Analysis “BlueSky” 랜섬웨어는 실행 시, 32바이트의 랜덤 값으로 이루어진 이름의 뮤텍스를 생성한다. 이후, 해당 32바이트의 랜덤 값으로..

Vmware ESXi 서버를 대상으로 파일을 암호화하는 “BlackBasta” 랜섬웨어가 발견됐다. 올해 초에 처음 등장한“BlackBasta” 랜섬웨어는 RaaS(Ransomware-as-a-Service)로 운영되고 있으며, 미국, 유럽 및 아시아 등의 기업을 대상으로 한 공격에 주로 사용됐다고 알려졌다. 또한, 최근에는 리눅스 버전을 제작해 공격 범위를 확대하고 있다. 해당 랜섬웨어의 리눅스 버전은 Vmware ESXi 서버에서 가상 머신 등의 저장 목적으로 사용하는 VMFS 데이터 저장소 경로인 ‘/vmfs/volumes’ 경로를 대상으로 암호화하며, “–forced” 인자를 사용해 암호화 경로를 지정할 수 있다. “BlackBasta” 랜섬웨어를 실행하면 ‘/vmfs/volumes’ 경로를 대상..

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 37곳의 정보를 취합한 결과이다. 2022년 8월(8월 1일 ~ 8월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “LockBit” 랜섬웨어가 73건으로 가장 많은 데이터 유출이 있었고, “Quantum” 랜섬웨어가 7건으로 두번째로 많이 발생했다. 2022년 8월(8월 1일 ~ 8월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 42%로 가장 높은 비중을 차지했고, 캐나다가 7%, 영국이 4%, 프랑스, 네덜란드 및 이탈리아가 각각 3%로 그 뒤를 따랐다. 2022년 8월(8월 1일 ~ 8월 31일)에 발생한 데이터 유출 건을 산업별..