잉카인터넷 시큐리티대응센터 블로그

최근 "LockBit" 랜섬웨어 운영진이 v2.0을 공개했다. "LockBit" 측이 공개한 버전은 Active Directory 그룹 정책을 사용해 연결된 PC에 랜섬웨어를 배포할 수 있다. 또한, 네트워크와 연결된 프린터에서 랜섬노트를 출력하는 기능이 추가됐다. 출처 : 다크웹

BlackMatter 랜섬웨어 그룹이 발견되었다. 해당 그룹은 데이터 유출 사이트를 개설하였으며, 현재 유출 사이트에는 게시된 데이터가 존재하지 않는다. RecordedFuture 에 따르면 BlackMatter 그룹이 판매하는 랜섬웨어가 DarkSide, REvil 및 LockBit 랜섬웨어의 기능을 통합하였으며, 비영리 단체 및 정부 등의 경우 공격대상에서 제외된다고 알렸다. 또한, 해커 포럼에 기업 네트워크에 대한 액세스 구매 광고를 게시하였다. 사진 출처 : 다크웹 출처 [1] RecordedFuture (2021.07.29) - BlackMatter Ransomware Emerges As Successor to DarkSide, Revil https://www.recordedfuture.com/..

잉카인터넷 대응팀은 2021년 7월 16일부터 2021년 7월 23일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "MiniWorld" 외 4건, 변종 랜섬웨어는 "Dharma" 외 3건이 발견됐다. 또한, VMware의 ESXi 플랫폼을 대상으로 공격하는 "HelloKitty" 랜섬웨어의 변종이 등장했다. 2021년 7월 16일 Dharma 랜섬웨어 파일명에 ".id[사용자 ID].[공격자 메일].DLL" 확장자를 추가하고 "info.txt"라는 랜섬노트를 생성하는 "Dharma" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 방화벽 사용을 해제한다. Stop 랜섬웨어 파일명에 ".zzla" 확장자를 추가하고 "_readme.txt"라는 랜섬노트..

최근 HelloKitty 랜섬웨어의 변종이 등장했다. 이번에 발견된 변종은 Vmware의 ESXi 플랫폼을 대상으로 만들어졌으며, 리눅스 64bit 환경에서 동작한다. 또한, ESXi의 esxcli 커맨드 라인 툴을 사용해 서버에서 실행 중인 가상 머신의 정보를 획득하고 종료한다. 따라서, VMware ESXi 가상머신을 사용하는 환경에서도 파일 암호화가 가능하므로 주의가 필요하다. 사진 출처 : https://twitter.com/malwrhunterteam/status/1415403132230803460 출처 [1] Twitter (2021.07.20) – HelloKitty 랜섬웨어 변종 관련 게시글 https://twitter.com/malwrhunterteam/status/141540313223..

최근 REvil 랜섬웨어의 변종이 등장했다. REvil 랜섬웨어 운영진은 러시아어를 사용하는 포럼에 NAS 서버에서 실행 가능한 REvil 랜섬웨어의 Linux 변종을 출시했다고 알렸다. 해당 변종은 Windows 버전과 동일한 옵션을 사용하며, VMware ESXi 가상머신을 사용하는 환경에서도 파일 암호화가 가능하다. 출처 : https://twitter.com/y_advintel/status/1391450354051653633 출처 [1] Twitter (2021.06.29) – Revil 랜섬웨어 변종 관련 게시글 https://twitter.com/y_advintel/status/1391450354051653633

새로운 랜섬웨어 그룹 Hive 가 Altus Group으로부터 탈취했다고 주장하는 데이터를 게시했다. 부동산 소프트웨어 솔루션 회사인 Altus Group은 6월 중순 경 보안사고가 발생하였으며 조사중에 있다고 발표하였다. 그리고 보안사고 약 일주일 후 Hive 랜섬웨어 그룹의 유출사이트인 HiveLeaks 에 Altus Group의 정보라고 주장하는 데이터가 게시되었다. Altus Group 은 게시된 정보가 실제 유출된 정보인지 여부를 공개하지 않았으며, 현재 유출 사이트(HiveLeaks)에는 해당 그룹 이외의 정보는 게시되어 있지 않다. 출처 [1] cybernews (2021.06.28) - New ransomware group Hive leaks Altus group sample files h..

브라질 헬스케어 회사인 Grupo Fleury가 사이버 공격을 받아 서비스가 중단 됐다. 해당 업체는 웹사이트에 "외부로부터 공격을 받아 현재 시스템을 사용할 수 없으며, 서비스 복원을 우선순위로 하고 있다"는 공지를 게시했다. BleepingComputer 측은 Grupo Fleury가 REvil 랜섬웨어의 공격을 받았으며, 공유받은 랜섬웨어 샘플 및 도난파일에 대한 유출과 암호해독을 빌미로 500달러의 랜섬머니를 요구하고 있다고 알렸다. Grupo Fleury는 환자 개인정보 및 의료정보 탈취 여부 등에 대한 공식적인 답변을 하지 않고 있다. 사진 출처 : https://www.fleury.com.br/ 출처 [1] BleepingComputer (2021.06.28) – Healthcare gian..

잉카인터넷 대응팀은 2021년 6월 18일부터 2021년 6월 24일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Mansory" 외 4건, 변종 랜섬웨어는 "Magniber" 외 1건이 발견됐다. 또한, "Lockbit" 랜섬웨어가 더욱 강력해진 새로운 버전 v2.0으로 다시 모습을 나타냈다. 2021년 6월 18일 Mansory 랜섬웨어 파일명에 ".MANSORY" 확장자를 추가하고 "MANSORY-MESSAGE.txt"라는 랜섬노트를 생성하는 "Mansory" 랜섬웨어가 발견됐다. Poteston 랜섬웨어 파일명에 ".poteston" 확장자를 추가하고 "readme.txt"라는 랜섬노트를 생성하는 "Poteston" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 ..

2019년 처음 등장하여 꾸준히 RaaS(Ransomware-as-a-Service)로 판매되던 Lockbit 랜섬웨어가 새로운 버전으로 다시 모습을 나타냈다. 최근 발표한 Lockbit 2.0은 20분 이내 100GB의 데이터를 유출할 수 있다고 주장하며 가장 빠른 암호화 및 데이터 유출 제공을 약속한다. 해당 버전은 실시간 압축 및 드래그 앤 드롭 기능을 지원하고 StealBit이라는 새로운 도구를 사용한다. 전세계적으로 활발하게 활동하는 Lockbit 랜섬웨어는 작년 스위스의 헬리콥터 제조그룹인 Kopter을 공격하였으며, 탈취한 데이터를 유출 사이트에 공유하기도 하였다. 사진 출처: Technadu 출처 [1] Technadu (2021.06.24) – LockBit Returns to the R..

최근 랜섬웨어를 만드는 빌더로 위장한 악성 빌더가 발견됐다. 빌더의 제작자는 빌더를 사용해 류크(Ryuk) 랜섬웨어를 만들 수 있다고 주장하지만, 실제로 류크 랜섬웨어와 비교해본 결과 유사점이 발견되지 않았다. 지난 6월 11일, 한 악성 빌더 제작자가 러시아어를 사용하는 포럼에 .NET으로 제작한 새로운 랜섬웨어 빌더를 공개했다. 해당 빌더를 실행하면 [그림 2]의 화면이 나타나며 확장자, 프로세스 이름 변경 및 자동 실행 설정 등의 기능을 조작해 랜섬웨어를 만들 수 있다. [표 1]은 빌더에서 생성한 랜섬웨어와 제작자가 주장하는 류크 랜섬웨어를 비교한 표이며, 파일 암호화 후 변경하는 확장자와 랜섬노트에서는 유사점이 발견되지 않았다. 다음으로, 빌더에서 생성한 랜섬웨어는 류크 랜섬웨어에서 사용하는 A..