Ransomware 124

Maze, Egregor 및 Sekhmet 랜섬웨어 마스터 복호화 키 공개

Maze, Egregor 및 Sekhmet 랜섬웨어 제품군의 개발자는 마스터 복호화 키로 보이는 키 값을 공개했다. 세 랜섬웨어의 개발자라고 주장하는 'Topleak'는 포럼에 해당 복호화 키를 유출하며 최근 발생한 국가의 서버 압수 수색과 랜섬웨어 계열사의 체포로 이어진 최근 법 집행 작업과 관련없이 계획된 유출이라고 밝혔다. 또한, 자신의 랜섬웨어 개발 팀원 모두가 랜섬웨어 제작을 멈출 것이고, 해당 랜섬웨어의 모든 소스 코드를 파괴했다고 발표했다. 보안 회사 Emsisoft는 해당 랜섬웨어의 랜섬노트인지 확인하여 복호화할 수 있는 무료 복호화 툴을 출시했으며 일반 사용자에게 배포됐다. 출처 [1] Security Affairs (2022.02.09) – Master decryption keys fo..

NetWalker 랜섬웨어 공격에 연루된 캐나다인 징역 선고

캐나다 정부에서 IT 기술자로 근무한 것으로 알려진 캐나다인 'Desjardins'가 “NetWalker” 랜섬웨어 공격에 연루된 혐의로 징역 80개월을 선고 받았다. "Desjardins"는 2020년 4월부터 "NetWalker" 랜섬웨어 공격으로 피해자의 네트워크에서 데이터를 탈취하고, 파일을 암호화하여 랜섬머니로 수백만 달러의 암호화폐를 요구했다. 2021년 1월경 미국 및 불가리아 법 집행 기관은 'Desjardins'를 기소하고, 해당 인물이 운영하던 데이터 유출 사이트를 포함한 다크웹 사이트를 압수했다고 밝혔다. 사진 출처: Bleeping Computer 출처 [1] Bleeping Computer (2022.01.27) – Netwalker ransomware dark web sites ..

대만 네트워크 장비 업체 QNAP을 공격한 DeadBolt 랜섬웨어 조직

지난달 DeadBolt 랜섬웨어 조직이 대만의 네트워크 장비 업체 QNAP의 NAS 장치를 암호화하고 랜섬머니를 요구하는 사건이 발생했다. 외신에 따르면 해당 랜섬웨어는 QNAP NAS 장치의 파일을 암호화하고, 파일명에 ".deadbolt"라는 확장자를 추가한다고 알려졌다. 또한 공격자가 QNAP의 로그인 페이지를 하이재킹해 "WARNING: Your files have been locked by DeadBolt"라는 랜섬노트를 생성한다고 언급했다. 이에 대해 피해 업체는 사용자들에게 NAS가 인터넷에 노출되지 않도록 즉각적인 조치를 취할 것을 권고했다. 사진 출처 : BleepingComputer 출처 [1] BleepingComputer (2022.01.25) - New DeadBolt ransom..

2022년 01월 랜섬웨어 동향 보고서

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 49곳의 정보를 취합한 결과이다. 2022년 1월(1월 1일 ~ 1월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 "Snatch" 랜섬웨어가 24건으로 가장 많은 데이터 유출이 있었고, "LockBit" 랜섬웨어가 21건으로 두번째로 많이 발생했다. 2022년 1월(1월 1일 ~ 1월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 46%로 가장 높은 비중을 차지했고, 영국과 이탈리아가 각각 9%, 프랑스가 6%로 그 뒤를 따랐다. 2022년 1월(1월 1일 ~ 1월 31일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 ..

[주간 랜섬웨어 동향] – 2월 1주차

잉카인터넷 대응팀은 2022년 1월 28일부터 2022년 2월 3일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Farattack" 외 2건, 변종 랜섬웨어는 "Lockbit"외 3건이 발견됐다. 2022년 1월 28일 Lockbit 랜섬웨어 파일명에 ".lockbit" 확장자를 추가하고 "Restore-My-Files.txt"라는 랜섬노트를 생성하는 "Lockbit" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템의 복원을 무력화한다. Ryuk 랜섬웨어 파일명에 ".RYK" 확장자를 추가하고 "RyukReadMe.html"이라는 랜섬노트를 생성하는 "Ryuk" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 특정 서비스를 종료한다. Farattack 랜섬웨어 파일명에..

AvosLocker 랜섬웨어 리눅스 변종 발견

최근 VMware ESXi 가상 머신을 대상으로 공격할 수 있는 기능을 추가한 "AvosLocker" 랜섬웨어의 리눅스 변종이 발견됐다. 외신은 해당 랜섬웨어가 VMware에서 제공하는 커맨드 라인 툴인 esxcli를 사용해 서버의 모든 ESXi 관련 시스템을 종료한다고 알렸다. 이후, “AvosLocker” 랜섬웨어는 암호화한 파일에 ".avoslinux" 확장자를 추가하고 "README_FOR_RESTORE"라는 이름의 랜섬노트를 생성해 감염된 PC의 사용자에게 랜섬머니를 요구한다. 사진 출처 : Twitter 출처 [1] Twitter (2022-01-25) - AvosLocker 리눅스 버전 관련 내용 트위터 게시글 https://twitter.com/ChristiaanBeek/status/148..

[주간 랜섬웨어 동향] - 1월 3주차

잉카인터넷 대응팀은 2022년 1월 14일부터 2022년 1월 20일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Koxic" 외 2건, 변종 랜섬웨어는 "Mallox"외 3건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 러시아의 연방안보국이 "REvil" 랜섬웨어 그룹의 주요 멤버들을 체포하고 공격 인프라를 폐쇄한 이슈가 있었다. 2022년 1월 14일 Mallox 랜섬웨어 파일명에 ".mallox" 확장자를 추가하고 "RECOVERY INFORMATION.txt"라는 랜섬노트를 생성하는 "Mallox" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버로 연결을 시도하고, 특정 서비스를 종료한다. 2022년 1월 15일 Koxic 랜섬웨어 파일명에 ".K..

[주간 랜섬웨어 동향] - 1월 2주차

잉카인터넷 대응팀은 2022년 1월 7일부터 2022년 1월 13일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 변종 랜섬웨어는 "SFile"외 2건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 "NightSky" 랜섬웨어 발견됐으며, "BlackMatter" 랜섬웨어의 논리 오류 발견과 "AvosLocker" 및 "TellYouThePass' 랜섬웨어의 변종이 발견된 이슈가 있었다. 2022년 1월 7일 NightSky 랜섬웨어 발견 파일명에 ".nightsky" 확장자를 추가하고 "NightSkyRadMe.hta"라는 이름의 랜섬노트를 생성하는 "NightSky" 랜섬웨어가 발견됐다. 외신에 따르면 "NightSky" 랜섬웨어 측은 약 80만 달러의 랜섬머니를 사용자에게 요구한 것으로 ..

Rook 랜섬웨어 데이터 유출 사이트 등장

최근 새롭게 등장한 Rook 랜섬웨어의 데이터 유출 사이트가 등장했다. 해당 사이트에 접속하면 "우리는 새로운 그룹이며 매우 강한 힘을 가졌다. 따라서 언론이 우리를 공개했으면 좋겠다."라는 메시지가 작성돼 있다. 사이트에 게시된 데이터는 현재까지 총 6건으로 한 건은 러시아의 한 기업에서 탈취한 데이터이며 나머지 데이터는 업로드 대기중이다. [사진 출처: 다크웹]

2021년 하반기 랜섬웨어 동향

1. 랜섬웨어 통계 2021년 하반기(7월 1일 ~ 12월 31일) 동안 잉카인터넷 대응팀은 랜섬웨어 신•변종 현황을 조사하였으며, 하반기에 발견된 신•변종 랜섬웨어의 건수는 [그림 1]과 같다. 하반기에는 월 평균 34건의 랜섬웨어가 발견됐으며 이 중, 신종과 변종 랜섬웨어는 각각 7월과 8월에 가장 많이 발견됐다. 2021년 하반기(7월 1일 ~ 12월 31일) 동안 월별로 랜섬웨어가 요구한 랜섬머니를 조사했을 때 주로 비트코인(BTC) 요구가 많았고, 모네로(XMR)나 랜섬머니를 요구하지 않는 경우는 매월 낮은 비율을 차지했다. 2021년 하반기(7월 1일 ~ 12월 31일) 동안 랜섬웨어가 요구한 랜섬머니를 조사했을 때 비트코인(BTC) 요구가 22%로 가장 많았고, 랜섬머니를 요구하지 않는 경우..