잉카인터넷 시큐리티대응센터 블로그

캐나다 정부에서 IT 기술자로 근무한 것으로 알려진 캐나다인 'Desjardins'가 “NetWalker” 랜섬웨어 공격에 연루된 혐의로 징역 80개월을 선고 받았다. "Desjardins"는 2020년 4월부터 "NetWalker" 랜섬웨어 공격으로 피해자의 네트워크에서 데이터를 탈취하고, 파일을 암호화하여 랜섬머니로 수백만 달러의 암호화폐를 요구했다. 2021년 1월경 미국 및 불가리아 법 집행 기관은 'Desjardins'를 기소하고, 해당 인물이 운영하던 데이터 유출 사이트를 포함한 다크웹 사이트를 압수했다고 밝혔다. 사진 출처: Bleeping Computer 출처 [1] Bleeping Computer (2022.01.27) – Netwalker ransomware dark web sites ..

지난달 DeadBolt 랜섬웨어 조직이 대만의 네트워크 장비 업체 QNAP의 NAS 장치를 암호화하고 랜섬머니를 요구하는 사건이 발생했다. 외신에 따르면 해당 랜섬웨어는 QNAP NAS 장치의 파일을 암호화하고, 파일명에 ".deadbolt"라는 확장자를 추가한다고 알려졌다. 또한 공격자가 QNAP의 로그인 페이지를 하이재킹해 "WARNING: Your files have been locked by DeadBolt"라는 랜섬노트를 생성한다고 언급했다. 이에 대해 피해 업체는 사용자들에게 NAS가 인터넷에 노출되지 않도록 즉각적인 조치를 취할 것을 권고했다. 사진 출처 : BleepingComputer 출처 [1] BleepingComputer (2022.01.25) - New DeadBolt ransom..

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 49곳의 정보를 취합한 결과이다. 2022년 1월(1월 1일 ~ 1월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 "Snatch" 랜섬웨어가 24건으로 가장 많은 데이터 유출이 있었고, "LockBit" 랜섬웨어가 21건으로 두번째로 많이 발생했다. 2022년 1월(1월 1일 ~ 1월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 46%로 가장 높은 비중을 차지했고, 영국과 이탈리아가 각각 9%, 프랑스가 6%로 그 뒤를 따랐다. 2022년 1월(1월 1일 ~ 1월 31일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 ..

잉카인터넷 대응팀은 2022년 1월 28일부터 2022년 2월 3일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Farattack" 외 2건, 변종 랜섬웨어는 "Lockbit"외 3건이 발견됐다. 2022년 1월 28일 Lockbit 랜섬웨어 파일명에 ".lockbit" 확장자를 추가하고 "Restore-My-Files.txt"라는 랜섬노트를 생성하는 "Lockbit" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템의 복원을 무력화한다. Ryuk 랜섬웨어 파일명에 ".RYK" 확장자를 추가하고 "RyukReadMe.html"이라는 랜섬노트를 생성하는 "Ryuk" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 특정 서비스를 종료한다. Farattack 랜섬웨어 파일명에..

최근 VMware ESXi 가상 머신을 대상으로 공격할 수 있는 기능을 추가한 "AvosLocker" 랜섬웨어의 리눅스 변종이 발견됐다. 외신은 해당 랜섬웨어가 VMware에서 제공하는 커맨드 라인 툴인 esxcli를 사용해 서버의 모든 ESXi 관련 시스템을 종료한다고 알렸다. 이후, “AvosLocker” 랜섬웨어는 암호화한 파일에 ".avoslinux" 확장자를 추가하고 "README_FOR_RESTORE"라는 이름의 랜섬노트를 생성해 감염된 PC의 사용자에게 랜섬머니를 요구한다. 사진 출처 : Twitter 출처 [1] Twitter (2022-01-25) - AvosLocker 리눅스 버전 관련 내용 트위터 게시글 https://twitter.com/ChristiaanBeek/status/148..

잉카인터넷 대응팀은 2022년 1월 14일부터 2022년 1월 20일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Koxic" 외 2건, 변종 랜섬웨어는 "Mallox"외 3건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 러시아의 연방안보국이 "REvil" 랜섬웨어 그룹의 주요 멤버들을 체포하고 공격 인프라를 폐쇄한 이슈가 있었다. 2022년 1월 14일 Mallox 랜섬웨어 파일명에 ".mallox" 확장자를 추가하고 "RECOVERY INFORMATION.txt"라는 랜섬노트를 생성하는 "Mallox" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버로 연결을 시도하고, 특정 서비스를 종료한다. 2022년 1월 15일 Koxic 랜섬웨어 파일명에 ".K..

잉카인터넷 대응팀은 2022년 1월 7일부터 2022년 1월 13일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 변종 랜섬웨어는 "SFile"외 2건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 "NightSky" 랜섬웨어 발견됐으며, "BlackMatter" 랜섬웨어의 논리 오류 발견과 "AvosLocker" 및 "TellYouThePass' 랜섬웨어의 변종이 발견된 이슈가 있었다. 2022년 1월 7일 NightSky 랜섬웨어 발견 파일명에 ".nightsky" 확장자를 추가하고 "NightSkyRadMe.hta"라는 이름의 랜섬노트를 생성하는 "NightSky" 랜섬웨어가 발견됐다. 외신에 따르면 "NightSky" 랜섬웨어 측은 약 80만 달러의 랜섬머니를 사용자에게 요구한 것으로 ..

최근 새롭게 등장한 Rook 랜섬웨어의 데이터 유출 사이트가 등장했다. 해당 사이트에 접속하면 "우리는 새로운 그룹이며 매우 강한 힘을 가졌다. 따라서 언론이 우리를 공개했으면 좋겠다."라는 메시지가 작성돼 있다. 사이트에 게시된 데이터는 현재까지 총 6건으로 한 건은 러시아의 한 기업에서 탈취한 데이터이며 나머지 데이터는 업로드 대기중이다. [사진 출처: 다크웹]

1. 랜섬웨어 통계 2021년 하반기(7월 1일 ~ 12월 31일) 동안 잉카인터넷 대응팀은 랜섬웨어 신•변종 현황을 조사하였으며, 하반기에 발견된 신•변종 랜섬웨어의 건수는 [그림 1]과 같다. 하반기에는 월 평균 34건의 랜섬웨어가 발견됐으며 이 중, 신종과 변종 랜섬웨어는 각각 7월과 8월에 가장 많이 발견됐다. 2021년 하반기(7월 1일 ~ 12월 31일) 동안 월별로 랜섬웨어가 요구한 랜섬머니를 조사했을 때 주로 비트코인(BTC) 요구가 많았고, 모네로(XMR)나 랜섬머니를 요구하지 않는 경우는 매월 낮은 비율을 차지했다. 2021년 하반기(7월 1일 ~ 12월 31일) 동안 랜섬웨어가 요구한 랜섬머니를 조사했을 때 비트코인(BTC) 요구가 22%로 가장 많았고, 랜섬머니를 요구하지 않는 경우..

1. 랜섬웨어 피해 사례 2021년 4분기(10월 1일 ~ 12월 31일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 "콘티(Conti)", "아보스락커(AvosLocker)" 등의 랜섬웨어로 인한 피해가 다수 발견되었다. 10월에는 대만의 유명 하드웨어 제조 업체 Gigabyte가 "콘티(Conti)" 랜섬웨어 공격을 받았고, 11월과 12월에는 글로벌 소매 업체 MediaMarkt와 미국 제조 업체 McMenamins가 각각 "아보스락커(AvosLocker)"와 "콘티(Conti)" 랜섬웨어 공격을 받아 피해가 발생했다. 콘티(Conti) 랜섬웨어 피해 사례 콘티(Conti) 랜섬웨어는 위자드 스파이더(Wizard Spider)라고 불리는 러시아 사이버 범죄 조직에 의해 운영되는 것으로 알려졌다..