잉카인터넷 시큐리티대응센터 블로그

지난 2021년 6월경, 랜섬웨어를 만드는 빌더로 위장한 악성 빌더가 등장했다. 해당 빌더의 제작자는 “.NET”으로 제작된 류크(Ryuk) 랜섬웨어를 만들 수 있다고 주장했으며 확인 결과, 류크(Ryuk) 랜섬웨어와의 유사점은 발견되지 않았다. 아래의 링크는 자사 블로그에 게시된 류크(Ryuk) 랜섬웨어를 만들 수 있다고 주장하는 빌더에 대한 보고서이다. 2021.06.18 - [분석 정보/랜섬웨어 분석 정보] - 새로운 랜섬웨어 빌더 발견 최근 해당 악성 빌더가 "Chaos"라는 이름으로 계속 버전을 패치하여 출시하고 있다. 빌더 내부에 설명된 정보에 따르면 비트코인 또는 모네로 후원에 의해 제작되고 있고, 지속적으로 업데이트된 버전을 출시할 것이라고 한다. 현재까지 빌더는 '버전 4'까지 출시 되었..

잉카인터넷 대응팀은 2021년 6월 11일부터 2021년 6월 17일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Slam" 외 3건, 변종 랜섬웨어는 "Nefilim" 외 1건이 발견됐다. 이 중, 류크 랜섬웨어 빌더로 주장하는 악성 빌더가 발견됐고, "Avaddon" 랜섬웨어 운영진이 운영 중단을 위해 복호화 키를 공개했다. 또한, 러시아어를 사용하는 해킹 포럼에 "Paradise" 랜섬웨어의 소스 코드가 공개됐고, 우크라이나 경찰이 "Clop" 랜섬웨어 운영진을 체포한 사건이 있었다. 2021년 6월 11일 Slam 랜섬웨어 파일명에 ".SLAM" 확장자를 추가하고 [그림 1]의 랜섬노트를 생성하는 "Slam" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 작업 관리자 실..

최근 랜섬웨어를 만드는 빌더로 위장한 악성 빌더가 발견됐다. 빌더의 제작자는 빌더를 사용해 류크(Ryuk) 랜섬웨어를 만들 수 있다고 주장하지만, 실제로 류크 랜섬웨어와 비교해본 결과 유사점이 발견되지 않았다. 지난 6월 11일, 한 악성 빌더 제작자가 러시아어를 사용하는 포럼에 .NET으로 제작한 새로운 랜섬웨어 빌더를 공개했다. 해당 빌더를 실행하면 [그림 2]의 화면이 나타나며 확장자, 프로세스 이름 변경 및 자동 실행 설정 등의 기능을 조작해 랜섬웨어를 만들 수 있다. [표 1]은 빌더에서 생성한 랜섬웨어와 제작자가 주장하는 류크 랜섬웨어를 비교한 표이며, 파일 암호화 후 변경하는 확장자와 랜섬노트에서는 유사점이 발견되지 않았다. 다음으로, 빌더에서 생성한 랜섬웨어는 류크 랜섬웨어에서 사용하는 A..

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된 데이터 유출 사이트 23곳의 정보를 취합한 결과이다. 2021년 5월(5월 1일 ~ 5월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 "Conti" 랜섬웨어가 62건으로 가장 많은 데이터 유출이 있었고, "DoppelPaymer" 및 "Sodinokibi" 랜섬웨어가 20건으로 두번째로 많이 발생했다. 2021년 5월(5월 1일 ~ 5월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 47%로 가장 높은 비중을 차지했고, 프랑스와 독일이 각각 8%, 영국과 이탈리아가 각각 7%와 6%로 그 뒤를 따랐다. 2021년 5월(5월 1일 ~ 5월 30일)에 발생한 ..

잉카인터넷 대응팀은 2021년 5월 21일부터 2021년 5월 27일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Nohacker" 1건, 변종 랜섬웨어는 "Stop" 외 5건이 발견됐다. 또한, "Qlocker" 랜섬웨어 조직은 랜섬머니 협상 사이트를 폐쇄하여 운영을 잠정적으로 중단했다. 2021년 5월 21일 Stop 랜섬웨어 파일명에 ".nusm" 확장자를 추가하고 랜섬노트를 생성하지 않는 "Stop" 랜섬웨어의 변종이 발견됐다. 2019.01.15 - [랜섬웨어 분석]12월 랜섬웨어 동향 및 Stop 랜섬웨어 HiddenTear 랜섬웨어 파일명에 ".[랜덤 숫자]" 확장자를 추가하고 [그림 1]의 랜섬노트를 실행하는 "HiddenTear" 랜섬웨어의 변종이 발견..

랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된 데이터 유출 사이트 19곳의 정보를 취합한 결과이다. 2021년 3월(3월 1일 ~ 3월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “Conti” 랜섬웨어가 40건으로 가장 많은 데이터 유출이 있었고, “DoppelPaymer” 랜섬웨어가 29건으로 두번째로 많이 발생했다. 2021년 3월(3월 1일 ~ 3월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 62%로 가장 높은 비중을 차지했고, 프랑스와 이탈리아가 각각 8%와 6%, 캐나다와 영국 각각 5%와 4%로 그 뒤를 따랐다. 2021년 3월(3월 1일 ~ 3월 31일)에 발생한 데이터 유출 건을 산업별로..

8월 랜섬웨어 동향 및 Ryuk 랜섬웨어 1. 8월 랜섬웨어 동향 2018년 08월(08월 01일 ~ 08월 31일) 한 달 간 랜섬웨어 동향을 조사한 결과, 지난달과 마찬가지로 국내에서는 GandCrab 랜섬웨어가 왕성한 활동을 보였다. 해외에서는 PGA(미국 프로 골프 협회)나 TSMC(대만 반도체 업체)등 랜섬웨어 피해를 입은 사례들이 나타났다. 8월, 신종 및 변종 랜섬웨어에 대해 알아보고, 신종 랜섬웨어인 Ryuk 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내외 랜섬웨어 피해 사례 GandCrab 랜섬웨어 피해사례 8월 초 국내 한 보안업체를 겨냥하여 보복성 메시지를 포함했던 GandCrab 랜섬웨어는 지속적으로 버전 업 되어 최근에는 4.4 버전까지 등장했다. 유포방식도 지속적..