잉카인터넷 시큐리티대응센터 블로그

최근 Gitlab과 Atlassian Confluence를 대상으로 Cerber랜섬웨어가 다시 등장하였다. Cerber랜섬웨어는 2016년에 처음 나타나 2019년까지 지속적으로 모습을 드러내다 서서히 사라졌다. Cerber랜섬웨어 변종은 과거와 달리 더욱 강력해진 모습으로 돌아왔다. Windows를 포함하여 Linux 시스템까지 공격 대상을 확대하고 Gitlab과 Atlassian Confluence의 원격코드 실행 취약점을 악용하여 서버에 접근하고, 악성 동작을 수행한다. 이때 사용된 취약점은 CVE-2021-26084과 CVE-2021-22205이다. 사진 출처: BleepingComputer 출처 [1] Bleepingcomputer (2021.12.08) - New Cerber ransomwar..

지난 11월 Cuba 랜섬웨어의 배후 그룹은 정보 및 의료, 금융 등의 기관을 공격하였다. 이로 인해 적어도 49개가 넘는 기관이 피해를 입었고, 이에 대하여 미국 연방수사국(FBI)은 관련된 세부 정보를 발표하였다. Cuba 랜섬웨어는 2019년 최초로 등장하였으며, 현재까지 4,390만 달러가 넘는 이익을 창출한 것으로 알려진다. 해당 랜섬웨어는 주로 피싱 메일, MS Exchange 서버의 취약점, RDP 도구 등을 사용하여 사용자의 네트워크에 접근하고, 그 후 파일 암호화 등의 공격을 수행한다. 사진 출처: FBI 출처 [1] Securityweek (2021.12.08) - FBI Warns of Cuba Ransomware Attacks on Critical Infrastructure http..

지난 11월에 Delta-Montrose Electric Association(DMEA)는 랜섬웨어 공격을 받아 일부 시스템이 중단되었다. DMEA는 콜로라도주 몬트로즈에 지역 전기 협동 조합으로 Touchstone Energy 연맹에 속하고 있다. 해당 공격으로 DMEA의 내부 네트워크 기능은 90%가량 손상되었으며 전화, 이메일, 청구 및 고객 계정 시스템이 중단되었다고 전해진다. 아직까지 어떠한 랜섬웨어의 공격인지 밝혀진 바는 없으며, 아래의 그림과 같이 DMEA의 사이트에서 관련 정보를 전달하며 12월 6일에서 10일 사이에 업무를 재개할 것이라 알렸다. 사진 출처: DMEA 출처 [1] Microsoft (2021.12.07) - Protecting people from recent cybera..

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 23곳의 정보를 취합한 결과이다. 2021년 11월(11월 1일 ~ 11월 30일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 "LockBit" 랜섬웨어가 78건으로 가장 많은 데이터 유출이 있었고, "Conti" 랜섬웨어가 77건으로 두번째로 많이 발생했다. 2021년 11월(11월 1일 ~ 11월 30일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 42%로 가장 높은 비중을 차지했고, 독일이 6%, 프랑스와 이탈리아가 5%로 그 뒤를 따랐다. 2021년 11월(11월 1일 ~ 11월 30일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제..

2021년 11월경, 새롭게 등장한 Midas 랜섬웨어의 데이터 유출 사이트가 등장했다. 해당 사이트에 접속하면 "규칙", "랜섬웨어 정보", "Midas 랜섬웨어 그룹에 대한 정보"가 작성돼 있다. 게시된 글에 따르면 자신들은 어떠한 정부단체에도 속해 있지 않으며 정치적 목표를 추구하지 않고, 단지 이윤만을 위해 데이터를 탈취한다고 한다. 사이트에 게시된 데이터는 현재까지 총 26건으로 다양한 국가와 산업군의 데이터를 탈취한 것으로 보인다. [사진 출처: 다크웹]

잉카인터넷 대응팀은 2021년 11월 19일부터 2021년 11월 25일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "BoomBye" 외 2건, 변종 랜섬웨어는 "Thanos" 외 3건이 발견됐다. 2021년 11월 19일 BoomBye 랜섬웨어 파일명에 ".boombye" 확장자를 추가하고 "_read_me_bro.txt"라는 랜섬노트를 생성하는 "boombye" 랜섬웨어가 발견됐다. 2021년 11월 21일 FileDecrypt 랜섬웨어 파일명에 ".file.decrypt" 확장자를 추가하고 "#File.decrypt#.txt"라는 랜섬노트를 생성하는 "FileDecrypt" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다. 2021년 11월 24일 ..

최근 익명의 공격자가 워드프레스(WordPress)로 제작된 정상 사이트를 랜섬웨어에 감염된 것으로 위장해 랜섬머니를 요구하는 사건이 발생했다. 이번 사건의 공격자는 웹사이트에서 사용하는 워드프레스 플러그인을 수정해 블로그 게시물의 게시 상태를 변경했다. 또한, 웹사이트가 랜섬웨어에 감염된 것처럼 위장하기 위해 랜섬노트를 띄우고 0.1 BTC의 랜섬머니 지불을 요구했다. 보안 업체 Sucuri는 공격자가 다크웹 시장에서 획득한 자격 증명을 악용해 관리자로 로그인했을 것이라고 언급하며, 워드프레스 관리자 대시보드(WP Admin)에서 계정 관련 정보의 재검토를 권고했다. 사진 출처 : Sucuri 출처 [1] Sucuri (2021.11.17) – Fake Ransomware Infection Spooks..

잉카인터넷 대응팀은 2021년 11월 5일부터 2021년 11월 11일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "PencilCry" 외 3건, 변종 랜섬웨어는 "Thanos" 외 3건이 발견됐다. 금주 랜섬웨어 관련 이슈로는 미국 당국이 REvil 랜섬웨어 공격의 배후인 우크라이나인을 체포한 사실을 밝혔다. 2021년 11월 5일 PencilCry 랜섬웨어 암호화를 하지 않고, [그림 1]의 랜섬노트를 실행하는 "PencilCry" 랜섬웨어가 발견됐다. Thanos 랜섬웨어 파일명에 ".stepik" 확장자를 추가하고 "RESTORE_FILES_INFO.txt"라는 랜섬노트를 생성하는 "Thanos" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 특정 프로세스의 실행..

최근, 전자제품 소매 업체 MediaMarkt이 Hive 랜섬웨어의 공격을 받았다. 해외 외신은 이번 공격으로 소매 업체 이용 고객들이 신용 카드 결재 및 영수증 인쇄를 할 수 없는 등의 불편을 겪고 있으며 Hive 랜섬웨어 그룹이 피해 기업에게 2억 4천만 달러를 요구하고 있다고 언급했다. 피해 업체측은 랜섬웨어의 공격 확산을 막기 위해 IT 시스템을 종료했으며 사고 경위를 조사 중이라고 밝혔다. 출처 [1] Bleepingcomputer (2021.11.09) - MediaMarkt hit by Hive ransomware, initial $240 million ransom https://www.bleepingcomputer.com/news/security/mediamarkt-hit-by-hive-r..

최근까지 유포됐던 BlackMatter 랜섬웨어가 운영을 중단한다고 발표했다. 해외 연구원에 따르면 해당 발표는 BlackMatter 랜섬웨어 갱단이 운영하는 홈페이지에 게시됐으며 지역 당국의 압력에 의해 운영을 중단 했다고 언급했다. 해당 게시글은 지난달 미국 연방수사국(FBI), 사이버보안 및 인프라 보안국(CISA) 에서 BlackMatter 랜섬웨어 권고문을 발표한 이후에 게시됐다. 사진출처 : 트위터 출처 [1] Securityaffairs (2021.11.04) - BlackMatter ransomware gang is shutting down due to pressure from law enforcement https://securityaffairs.co/wordpress/124135/cyb..