1. 랜섬웨어 통계
2021년 상반기(1월 1일 ~ 6월 30일) 동안 잉카인터넷 대응팀은 랜섬웨어 신•변종 현황을 조사하였으며, 상반기에 발견된 신•변종 랜섬웨어의 건수는 [그림 1]과 같다. 상반기에는 월 평균 31건의 랜섬웨어가 발견됐으며 이 중, 신종과 변종 랜섬웨어는 각각 6월과 4월에 가장 많이 발견됐다.
2021년 상반기(1월 1일 ~ 6월 30일) 동안 월별로 랜섬웨어가 요구한 랜섬머니를 조사했을 때 주로 비트코인(BTC) 요구가 많았고, 모네로(XMR)나 랜섬머니를 요구하지 않는 경우는 매월 낮은 비율을 차지했다.
2021년 상반기(1월 1일 ~ 6월 30일) 동안 랜섬웨어가 요구한 랜섬머니를 조사했을 때 비트코인(BTC) 요구가 31%로가장 많았고, 랜섬머니를 요구하지 않는 경우와 모네로(XMR)를 요구하는 경우는 각각 5%와 2% 비율을 차지했다.
2021년 상반기(1월 1일 ~ 6월 30일) 동안의 신•변종 랜섬웨어는 아래 표와 같고, 신종은 푸른색, 변종은 붉은색으로 표시했다. 이외에 표시된 색상은 상반기 내 신•변종이 5건 이상인 랜섬웨어이다.
2. 신/변종 랜섬웨어
1월
BabukLocker 랜섬웨어
파일명에 “.__NIST_K571__" 확장자를 추가하고 “How To Restore Your Files.txt"라는 랜섬노트를 생성하는 " BabukLocker " 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.
Judge 랜섬웨어
파일명에 “[공격자 메일].judge" 확장자를 추가하고 "info.txt"라는 랜섬노트를 생성하는 “Judge” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 바탕 화면 배경을 변경한다.
Solaso 랜섬웨어
파일명에 ".solaso" 확장자를 추가하고 “_READ_ME_TO_RECOVER_YOUR_FILES.txt"라는 랜섬노트를 생성하는 “Solaso” 랜섬웨어가 발견됐다.
Sopora 랜섬웨어
파일명에 ".zip" 확장자를 추가하고 " [Persnal Key 값].html“라는 랜섬노트를 생성하는 “Sopora” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.
2월
Namaste 랜섬웨어
파일명에 "._enc" 확장자를 추가하고 [그림 9]의 랜섬노트를 생성하는 “Namaste” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 윈도우 기능을 비활성화하고 바탕 화면 배경을 변경한다. 또한, 특정 프로세스 실행을 차단한다.
JCrypt 랜섬웨어
파일명에 ".Jcrypt" 확장자를 추가하고 [그림 10]의 랜섬노트를 생성하는 “JCrypt” 랜섬웨어가 발견됐다.
BleachGap 랜섬웨어
파일명에 ".lck" 확장자를 추가하고 "Pay2Decrypt.txt”라는 랜섬노트를 생성하는 “BleachGap” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고, 윈도우 기능을 비활성화한다.
Repter 랜섬웨어
파일명에 ".repter" 확장자를 추가하고 “HOW TO DECRYPT FILE.hta“라는 랜섬노트를 생성하는 “Repter” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 작업관리자와 윈도우 디펜더를 비활성화한다. 또한, 작업스케줄러를 등록해 PC를 재부팅 했을 때 실행되도록 설정한다.
3월
Sarbloh 랜섬웨어
"Sarbloh" 랜섬웨어는 랜섬머니를 요구하지 않고, 인도 농업 법안 철회를 요구하는 메시지를 전하는 새로운 시위 방법으로 등장했다. 해당 랜섬웨어는 확장자를 ".sarbloh"로 바꾸고, "README_SARBLOH.txt" 라는 이름의 랜섬노트를 생성한다. 또한, 볼륨 섀도우 복사본을 삭제하여 복구를 무력화한다.
NASACry 랜섬웨어
파일명을 "[파일명 Base64].NASACry"로 바꾸고 "READ_TO_DECRYPT.html"라는 랜섬노트를 생성하는 “NASACry” 랜섬웨어가 발견됐다.
AIDSNT 랜섬웨어
“AIDS_NT_Instructions.txt"라는 랜섬노트를 생성하는 "AIDSNT" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 작업관리자 등을 사용하지 못하도록 레지스트리를 수정한 후, 20초마다 시스템을 재부팅한다.
Hanta 랜섬웨어
파일명에 ".hanta" 확장자를 추가하고 “how_to_recover.txt"라는 랜섬노트를 생성하는 "Hanta" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 자동실행 레지스트리에 원본 파일을 등록하고, [그림 16]과 같이 바탕화면을 변경한다.
4월
Dharma 랜섬웨어
파일명에 “.id-[사용자 ID].[공격자 메일].ctpl” 확장자를 추가하고 [그림 17]의 랜섬노트를 생성하는 "Dharma" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 특정 서비스를 종료하고 시스템 복원을 무력화한다.
Gehenna 랜섬웨어
파일명에 “.gehenna” 확장자를 추가하고 "GEHENNA-README-WARNING.html"라는 랜섬노트를 생성하는 "Gehenna" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 특정 프로세스의 실행을 차단하고 시스템 복원을 무력화한다.
Nitro 랜섬웨어
파일명에 ”.givemenitro” 확장자를 추가하고 [그림 19]의 랜섬노트를 띄우는 "Nitro" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 Discord Nitro 서비스 코드를 요구하고, 감염된 사용자의 Discord 토큰을 탈취한다.
Conti 랜섬웨어
파일명에 “.ALNBR“ 확장자를 추가하고 “readme.txt"라는 랜섬노트를 생성하는 "Conti" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.
5월
SunCrypt 랜섬웨어
파일명에 “.[랜덤 문자열]“ 확장자를 추가하고 “YOUR_FILES_ARE_ENCRYPTED.HTML"라는 랜섬노트를 생성하는 "SunCrypt" 랜섬웨어의 변종이 발견됐다.
FuxSocy 랜섬웨어
파일명에 “[랜덤 문자열].fse_[ID]“ 확장자를 추가하고 “[ID]__READ_THIS__[ID].jpg"라는 랜섬노트를 생성하는 "FuxSocy" 랜섬웨어의 변종이 발견됐다.
Prometheus 랜섬웨어
파일명에 ".[3자리 숫자 - 3자리 영문 숫자값 - 4자리 영문 숫자값]” 확장자를 추가하고 “RESTORE_FILES_INFO.hta”라는 랜섬노트를 생성하는 "Prometheus" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 특정 서비스와 프로세스를 종료 및 차단한다.
HiddenTear 랜섬웨어
파일명에 “[랜덤 숫자]“ 확장자를 추가하고 [그림 24]의 랜섬노트를 실행하는 "HiddenTear" 랜섬웨어의 변종이 발견됐다.
6월
Matrix 랜섬웨어
파일명에 “[공격자 메일].랜덤문자열-랜덤문자열.MMTA” 확장자를 추가하고 “#MMTA_README#.rtf”라는 랜섬노트를 생성하는 “Matrix” 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 바탕화면 배경을 변경하며 시스템 복원을 무력화한다.
Punisher 랜섬웨어
확장자를 변경하지 않고 [그림 26]의 랜섬노트를 실행하는 "Punisher" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 특정 프로세스의 실행을 차단한다.
Tohnichi 랜섬웨어
파일명에 “.tohnichi” 확장자를 추가하고 “How to decrypt files.txt”라는 랜섬노트를 생성하는 “Tohnichi” 랜섬웨어가 발견됐다.
Poteston 랜섬웨어
파일명에 “.poteston” 확장자를 추가하고 “readme.txt”라는 랜섬노트를 생성하는 “Poteston” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.
Delta 랜섬웨어
파일명에 “.[Delta][랜덤문자열]” 확장자를 추가하고 [그림 29]의 랜섬노트를 생성하는 “Delta” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.
'동향 리포트 > 년간 동향 리포트' 카테고리의 다른 글
| 2022 사이버 보안 전망 (0) | 2022.02.22 |
|---|---|
| 2021년 하반기 랜섬웨어 동향 (0) | 2022.01.12 |
| [최신동향] 2021년 사이버 보안 전망 (0) | 2021.01.12 |
| [발표]2013년 사례분석을 통한 2014년 보안위협 예측 (0) | 2013.11.29 |
| [발표]키워드로 돌아보는 2012년 10대 보안위협 선정 [잉카인터넷] (0) | 2012.12.03 |