잉카인터넷 시큐리티대응센터 블로그

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 49곳의 정보를 취합한 결과이다. 2022년 2월(2월 1일 ~ 2월 28일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “LockBit” 랜섬웨어가 52건으로 가장 많은 데이터 유출이 있었고, “Conti” 랜섬웨어가 31건으로 두번째로 많이 발생했다. 2022년 2월(2월 1일 ~ 2월 28일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 32%로 가장 높은 비중을 차지했고, 영국이 9%, 이탈리아와 독일이 각각 7%로 그 뒤를 따랐다. 2022년 2월(2월 1일 ~ 2월 28일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야..

잉카인터넷 대응팀은 2022년 2월 11일부터 2022년 2월 17일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Sodinokibi" 외 3건, 변종 랜섬웨어는 "Nokoyawa"외 4건이 발견됐다. 2022년 2월 11일 Sodinokibi 랜섬웨어 파일명에 ".4agrfsh5tx7" 확장자를 추가하고 "4agrfsh5tx7-HOW-TO-DECRYPT.txt"라는 랜섬노트를 생성하는 "Sodinokibi" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템의 복원을 무력화하고, 자동실행 레지스트리에 등록한다. 또한, 바탕화면의 배경을 변경한다. 2022년 2월 12일 WannaCry 랜섬웨어 파일명에 ".WNCRY" 확장자를 추가하고 "Wana Decrypt0r.e..

잉카인터넷 대응팀은 2022년 2월 4일부터 2022년 2월 10일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Scorpio" 외 1건, 변종 랜섬웨어는 "Stop" 외 3건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 보안 업체 Avast에서 "argetCompany" 랜섬웨어의 디크립터를 공개했으며, "NetWalker" 랜섬웨어 공격에 연루된 캐나다인이 징역을 선고받은 이슈가 있었다. 2022년 2월 7일 Stop 랜섬웨어 파일명에 ".cuag" 확장자를 추가하고 "_readme.txt"라는 랜섬노트를 생성하는 "Stop" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버와 연결을 시도한다. 2022년 2월 8일 TargetCompany 랜섬웨어 디..

Maze, Egregor 및 Sekhmet 랜섬웨어 제품군의 개발자는 마스터 복호화 키로 보이는 키 값을 공개했다. 세 랜섬웨어의 개발자라고 주장하는 'Topleak'는 포럼에 해당 복호화 키를 유출하며 최근 발생한 국가의 서버 압수 수색과 랜섬웨어 계열사의 체포로 이어진 최근 법 집행 작업과 관련없이 계획된 유출이라고 밝혔다. 또한, 자신의 랜섬웨어 개발 팀원 모두가 랜섬웨어 제작을 멈출 것이고, 해당 랜섬웨어의 모든 소스 코드를 파괴했다고 발표했다. 보안 회사 Emsisoft는 해당 랜섬웨어의 랜섬노트인지 확인하여 복호화할 수 있는 무료 복호화 툴을 출시했으며 일반 사용자에게 배포됐다. 출처 [1] Security Affairs (2022.02.09) – Master decryption keys fo..

캐나다 정부에서 IT 기술자로 근무한 것으로 알려진 캐나다인 'Desjardins'가 “NetWalker” 랜섬웨어 공격에 연루된 혐의로 징역 80개월을 선고 받았다. "Desjardins"는 2020년 4월부터 "NetWalker" 랜섬웨어 공격으로 피해자의 네트워크에서 데이터를 탈취하고, 파일을 암호화하여 랜섬머니로 수백만 달러의 암호화폐를 요구했다. 2021년 1월경 미국 및 불가리아 법 집행 기관은 'Desjardins'를 기소하고, 해당 인물이 운영하던 데이터 유출 사이트를 포함한 다크웹 사이트를 압수했다고 밝혔다. 사진 출처: Bleeping Computer 출처 [1] Bleeping Computer (2022.01.27) – Netwalker ransomware dark web sites ..

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 49곳의 정보를 취합한 결과이다. 2022년 1월(1월 1일 ~ 1월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 "Snatch" 랜섬웨어가 24건으로 가장 많은 데이터 유출이 있었고, "LockBit" 랜섬웨어가 21건으로 두번째로 많이 발생했다. 2022년 1월(1월 1일 ~ 1월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 46%로 가장 높은 비중을 차지했고, 영국과 이탈리아가 각각 9%, 프랑스가 6%로 그 뒤를 따랐다. 2022년 1월(1월 1일 ~ 1월 31일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 ..

잉카인터넷 대응팀은 2022년 1월 28일부터 2022년 2월 3일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Farattack" 외 2건, 변종 랜섬웨어는 "Lockbit"외 3건이 발견됐다. 2022년 1월 28일 Lockbit 랜섬웨어 파일명에 ".lockbit" 확장자를 추가하고 "Restore-My-Files.txt"라는 랜섬노트를 생성하는 "Lockbit" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템의 복원을 무력화한다. Ryuk 랜섬웨어 파일명에 ".RYK" 확장자를 추가하고 "RyukReadMe.html"이라는 랜섬노트를 생성하는 "Ryuk" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 특정 서비스를 종료한다. Farattack 랜섬웨어 파일명에..

잉카인터넷 대응팀은 2022년 1월 14일부터 2022년 1월 20일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "Koxic" 외 2건, 변종 랜섬웨어는 "Mallox"외 3건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 러시아의 연방안보국이 "REvil" 랜섬웨어 그룹의 주요 멤버들을 체포하고 공격 인프라를 폐쇄한 이슈가 있었다. 2022년 1월 14일 Mallox 랜섬웨어 파일명에 ".mallox" 확장자를 추가하고 "RECOVERY INFORMATION.txt"라는 랜섬노트를 생성하는 "Mallox" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버로 연결을 시도하고, 특정 서비스를 종료한다. 2022년 1월 15일 Koxic 랜섬웨어 파일명에 ".K..

잉카인터넷 대응팀은 2022년 1월 7일부터 2022년 1월 13일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 변종 랜섬웨어는 "SFile"외 2건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 "NightSky" 랜섬웨어 발견됐으며, "BlackMatter" 랜섬웨어의 논리 오류 발견과 "AvosLocker" 및 "TellYouThePass' 랜섬웨어의 변종이 발견된 이슈가 있었다. 2022년 1월 7일 NightSky 랜섬웨어 발견 파일명에 ".nightsky" 확장자를 추가하고 "NightSkyRadMe.hta"라는 이름의 랜섬노트를 생성하는 "NightSky" 랜섬웨어가 발견됐다. 외신에 따르면 "NightSky" 랜섬웨어 측은 약 80만 달러의 랜섬머니를 사용자에게 요구한 것으로 ..

최근 새롭게 등장한 Rook 랜섬웨어의 데이터 유출 사이트가 등장했다. 해당 사이트에 접속하면 "우리는 새로운 그룹이며 매우 강한 힘을 가졌다. 따라서 언론이 우리를 공개했으면 좋겠다."라는 메시지가 작성돼 있다. 사이트에 게시된 데이터는 현재까지 총 6건으로 한 건은 러시아의 한 기업에서 탈취한 데이터이며 나머지 데이터는 업로드 대기중이다. [사진 출처: 다크웹]