ransom33 HelloKitty 랜섬웨어 변종 등장 최근 HelloKitty 랜섬웨어의 변종이 등장했다. 이번에 발견된 변종은 Vmware의 ESXi 플랫폼을 대상으로 만들어졌으며, 리눅스 64bit 환경에서 동작한다. 또한, ESXi의 esxcli 커맨드 라인 툴을 사용해 서버에서 실행 중인 가상 머신의 정보를 획득하고 종료한다. 따라서, VMware ESXi 가상머신을 사용하는 환경에서도 파일 암호화가 가능하므로 주의가 필요하다. 사진 출처 : https://twitter.com/malwrhunterteam/status/1415403132230803460 출처 [1] Twitter (2021.07.20) – HelloKitty 랜섬웨어 변종 관련 게시글 https://twitter.com/malwrhunterteam/status/141540313223.. 2021. 7. 21. 데이터를 유출한 Hive 랜섬웨어 그룹 새로운 랜섬웨어 그룹 Hive 가 Altus Group으로부터 탈취했다고 주장하는 데이터를 게시했다. 부동산 소프트웨어 솔루션 회사인 Altus Group은 6월 중순 경 보안사고가 발생하였으며 조사중에 있다고 발표하였다. 그리고 보안사고 약 일주일 후 Hive 랜섬웨어 그룹의 유출사이트인 HiveLeaks 에 Altus Group의 정보라고 주장하는 데이터가 게시되었다. Altus Group 은 게시된 정보가 실제 유출된 정보인지 여부를 공개하지 않았으며, 현재 유출 사이트(HiveLeaks)에는 해당 그룹 이외의 정보는 게시되어 있지 않다. 출처 [1] cybernews (2021.06.28) - New ransomware group Hive leaks Altus group sample files h.. 2021. 6. 28. REvil 랜섬웨어, 헬스케어 회사 공격 브라질 헬스케어 회사인 Grupo Fleury가 사이버 공격을 받아 서비스가 중단 됐다. 해당 업체는 웹사이트에 "외부로부터 공격을 받아 현재 시스템을 사용할 수 없으며, 서비스 복원을 우선순위로 하고 있다"는 공지를 게시했다. BleepingComputer 측은 Grupo Fleury가 REvil 랜섬웨어의 공격을 받았으며, 공유받은 랜섬웨어 샘플 및 도난파일에 대한 유출과 암호해독을 빌미로 500달러의 랜섬머니를 요구하고 있다고 알렸다. Grupo Fleury는 환자 개인정보 및 의료정보 탈취 여부 등에 대한 공식적인 답변을 하지 않고 있다. 사진 출처 : https://www.fleury.com.br/ 출처 [1] BleepingComputer (2021.06.28) – Healthcare gian.. 2021. 6. 28. 더욱 강력해진 Lockbit 랜섬웨어 2.0 2019년 처음 등장하여 꾸준히 RaaS(Ransomware-as-a-Service)로 판매되던 Lockbit 랜섬웨어가 새로운 버전으로 다시 모습을 나타냈다. 최근 발표한 Lockbit 2.0은 20분 이내 100GB의 데이터를 유출할 수 있다고 주장하며 가장 빠른 암호화 및 데이터 유출 제공을 약속한다. 해당 버전은 실시간 압축 및 드래그 앤 드롭 기능을 지원하고 StealBit이라는 새로운 도구를 사용한다. 전세계적으로 활발하게 활동하는 Lockbit 랜섬웨어는 작년 스위스의 헬리콥터 제조그룹인 Kopter을 공격하였으며, 탈취한 데이터를 유출 사이트에 공유하기도 하였다. 사진 출처: Technadu 출처 [1] Technadu (2021.06.24) – LockBit Returns to the R.. 2021. 6. 24. [랜섬웨어 분석] TurkStatik 랜섬웨어 TurkStatik Ransomware감염 주의 1. 개요 “TurkStatik”로 불리는 랜섬웨어는 모든 드라이브를 대상으로 암호화한다. 이 중 디렉터리가 재배치 지점(ReparsePoint), 시스템(System) 및 숨김(Hidden) 속성을 지니면 암호화를 하지 않는다. 추가로 암호화의 주요 대상은 윈도우 실행 파일이 아닌 문서, 사진, 영상 및 코드 등이다. 암호화가 완료된 디렉터리에는 터키어로 작성된 랜섬노트가 생성되며 48시간 이내에 금액에 대한 협상을 요구한다. 따라서, 감염된 경우 상당한 주의가 필요하며, 상세한 금액은 알려지지 않은 상태이다. 이번 보고서에서는 “TurkStatik” 랜섬웨어의 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 실행 과정 “Tur.. 2019. 12. 20. [랜섬웨어 분석] Maoloa 랜섬웨어 분석 꾸준히 발견되고 있는 Maoloa 랜섬웨어 감염 주의 1. 개요 올해 초, 처음으로 등장한 Maoloa 랜섬웨어는 다양한 변종이 출현하며 현재까지도 꾸준히 발견되고 있다. 최근 발견된 Maoloa 랜섬웨어는 이전에 비해 특정 서비스를 비활성화 시키며, 일부 폴더 및 파일을 제외하고 모든 확장자를 암호화 대상하기 때문에, 감염 되었을 경우 사용자의 피해가 클 것으로 예상된다. 이번 보고서에는 최근에 유포 되고 있는 Maoloa 랜섬웨어 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다. 2-3. 실행 과정 Maoloa 랜섬웨어 실행 시, 시스템 재부팅 후에도 자동으로 실행 될 수 있도록 레지스트리에.. 2019. 12. 13. 이전 1 2 3 4 5 6 다음
