잉카인터넷 시큐리티대응센터 블로그

잉카인터넷 대응팀은 2021년 12월 31일부터 2022년 1월 6일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "PyCryptor" 외 3건, 변종 랜섬웨어는 "Conti" 외 5건이 발견됐다. 2021년 12월 31일 HelloXD 랜섬웨어 파일명에 ".hello" 확장자를 추가하고 "Hello.txt"라는 랜섬노트를 생성하는 "HelloXD" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다. PyCryptor 랜섬웨어 파일명에 ".CRYPT" 확장자를 추가하고 "README.txt"와 [그림 1]의 랜섬노트를 실행하는 "PyCryptor" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버에 연결을 시도한다. Conti 랜섬웨어 파일명..

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 49곳의 정보를 취합한 결과이다. 2021년 12월(12월 1일 ~ 12월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 "LockBit" 랜섬웨어가 59건으로 가장 많은 데이터 유출이 있었고, "Conti” 랜섬웨어가 41건으로 두번째로 많이 발생했다. 2021년 12월(12월 1일 ~ 12월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 41%로 가장 높은 비중을 차지했고, 독일과 호주가 각각 8%와 7%, 프랑스와 캐나다가 6%로 그 뒤를 따랐다. 2021년 12월(12월 1일 ~ 12월 31일)에 발생한 데이터 유출 건을 산업별로..

최근 "AvosLocker" 랜섬웨어 조직이 미국의 정부 기관을 공격한 후, 무료로 복호화 툴을 제공한 정황이 알려졌다. 외신에 따르면 "AvosLocker" 측이 무료로 복호화 툴을 제공한 이유가 법 집행에 대한 두려움 보다는 돈을 받기 어렵기 때문이라고 언급했다고 알렸다. 또한, 공격 대상에 대한 정책은 별도로 없지만, 일반적으로 정부 기관과 병원은 피한다고 밝혔다. 사진 출처 : Twitter 출처 [1] Twitter (2021.12.30) – AvosLocker 관련 트위터 게시글 https://twitter.com/pancak3lullz/status/1476217440442925057 [2] BleepingComputer (2021.12.30) - Ransomware gang coughs up..

미국의 인터넷 및 TV 케이블 제공업체인 Cox Communications에서 데이터 유출 사실을 공개했다. Cox Communications는 고객의 이름, 주소, 전화번호, cox 계좌번호, 핀 코드 등의 개인 정보가 탈취되었다고 전했다. 해당 공격은 사회공학 기법을 사용하여 Cox 내부 네트워크에 접근한 다음 고객 정보를 탈취한 것으로 추정되며, 해당 유출의 피해 고객의 수와 정확한 사건이 발생한 원인에 대해서는 알려진 바가 없는 것으로 전해진다. 사진 출처: BleepingComputer 출처 [1] Bleepingcomputer (2021.12.15) - Cox discloses data breach after hacker impersonates support agent https://www.b..

2021년 9월, 처음 등장한 해킹 그룹 "Moses Staff"는 어떤 금전적 요구도 하지 않고, 반 유대주의 사상을 내세우기 위해 이스라엘 조직을 표적으로 삼아 공격하기 시작했다. "Moses Staff" 해킹 그룹은 자신들이 운영하는 데이터 유출 사이트에 이스라엘의 기업 및 공공 기관에서 탈취한 데이터를 게시했다. ▶ 아래의 링크는 해당 그룹에 대해 게시된 자사 블로그 정보성 글이다. 2021.10.26 - [최신 보안 동향] - 반 유대주의 사상을 내세운 사이버 범죄 등장 "Moses Staff" 그룹의 악성코드는 2021년 3월에 공개된 MS Exchange Server 취약점을 악용하여 유포된다. MS Exchange Server 취약점은 공격자를 사용자의 서버에 인증한 후 웹 쉘을 사용자 서..

잉카인터넷 대응팀은 2021년 12월 03일부터 2021년 12월 09일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "VoidCrypt" 외 3건, 변종 랜섬웨어는 "Makop" 외 5건이 발견됐다. 2021년 12월 03일 Makop 랜섬웨어 파일명에 ".[키 값].[공격자 메일].mkp" 확장자를 추가하고 "+README-WARNING+.txt"라는 랜섬노트를 생성하는 "Makop" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다. 2021년 12월 04일 Thanos 랜섬웨어 파일명에 ".[키 값].unlock" 확장자를 추가하고 "UNLOCK_FILES_INFO.txt"라는 랜섬노트를 생성하는 "Thanos" 랜섬웨어의 변종이 발견됐다. 해..

독일의 한 보안회사, G DATA에서 STOP 랜섬웨어의 암호화 동작을 방지하는 백신을 출시하였다. 해당 백신은 STOP 랜섬웨어의 악성동작 자체를 막지는 못하지만, 파일의 암호화 동작을 차단할 수 있다고 전해진다. STOP 랜섬웨어의 암호 해독 소프트웨어는 지난 2019년 10월에 출시된 바가 있다. 하지만 그 이후로 다양한 변종이 등장하였기 때문에 최신 변종에 대해서는 G DATA의 백신을 통해 추가적인 암호화 동작을 막는 것이 최선의 방법으로 알려진다. 사진 출처: BleepingComputer 출처 [1] Bleepingcomputer (2021.12.08) - STOP Ransomware vaccine released to block encryption https://www.bleepingcom..

최근 Gitlab과 Atlassian Confluence를 대상으로 Cerber랜섬웨어가 다시 등장하였다. Cerber랜섬웨어는 2016년에 처음 나타나 2019년까지 지속적으로 모습을 드러내다 서서히 사라졌다. Cerber랜섬웨어 변종은 과거와 달리 더욱 강력해진 모습으로 돌아왔다. Windows를 포함하여 Linux 시스템까지 공격 대상을 확대하고 Gitlab과 Atlassian Confluence의 원격코드 실행 취약점을 악용하여 서버에 접근하고, 악성 동작을 수행한다. 이때 사용된 취약점은 CVE-2021-26084과 CVE-2021-22205이다. 사진 출처: BleepingComputer 출처 [1] Bleepingcomputer (2021.12.08) - New Cerber ransomwar..

지난 11월 Cuba 랜섬웨어의 배후 그룹은 정보 및 의료, 금융 등의 기관을 공격하였다. 이로 인해 적어도 49개가 넘는 기관이 피해를 입었고, 이에 대하여 미국 연방수사국(FBI)은 관련된 세부 정보를 발표하였다. Cuba 랜섬웨어는 2019년 최초로 등장하였으며, 현재까지 4,390만 달러가 넘는 이익을 창출한 것으로 알려진다. 해당 랜섬웨어는 주로 피싱 메일, MS Exchange 서버의 취약점, RDP 도구 등을 사용하여 사용자의 네트워크에 접근하고, 그 후 파일 암호화 등의 공격을 수행한다. 사진 출처: FBI 출처 [1] Securityweek (2021.12.08) - FBI Warns of Cuba Ransomware Attacks on Critical Infrastructure http..

지난 11월에 Delta-Montrose Electric Association(DMEA)는 랜섬웨어 공격을 받아 일부 시스템이 중단되었다. DMEA는 콜로라도주 몬트로즈에 지역 전기 협동 조합으로 Touchstone Energy 연맹에 속하고 있다. 해당 공격으로 DMEA의 내부 네트워크 기능은 90%가량 손상되었으며 전화, 이메일, 청구 및 고객 계정 시스템이 중단되었다고 전해진다. 아직까지 어떠한 랜섬웨어의 공격인지 밝혀진 바는 없으며, 아래의 그림과 같이 DMEA의 사이트에서 관련 정보를 전달하며 12월 6일에서 10일 사이에 업무를 재개할 것이라 알렸다. 사진 출처: DMEA 출처 [1] Microsoft (2021.12.07) - Protecting people from recent cybera..