랜섬웨어
-
Chimera 랜섬웨어 복호화키 경쟁세력에 의해 유출카테고리 없음 2016. 7. 29. 16:40
Petya 및 Mischa 랜섬웨어 제작자들이 '업계 경쟁세력'에게 일격을 날렸다. 우선 이른바 랜섬웨어서비스(Ransomware-as-a-Service, RaaS)라는 방식으로 랜섬웨어 변종을 대량 배포함으로써 일반인도 범죄의지만 있다면 랜섬웨어로 사이버공격을 행할 수 있는 발판을 마련했다. 참고: http://www.securityweek.com/petya-mischa-ransomware-now-available-service 그리고 Chimera 랜섬웨어에 감염된 시스템에 적용될 수 있다고 주장하면서 3500개의 RSA 개인키를 배포했으며 이는 라이벌 세력인 Chimera 랜섬웨어의 활동을 방해하려는 의도로 보인다. 해당 키는 Pastebin에 게재됐으며 게시글에서는 이를 통해 복호화툴을 만드는 데..
-
WSF 기반 Zepto 랜섬웨어카테고리 없음 2016. 7. 27. 14:39
ThreatTrack 연구진은 최근 Zepto 랜섬웨어 배포수단으로 윈도스크립트파일(WSF, windows scripting file) 압축파일을 첨부한 스팸이 다량 유포되는 현상을 포착했다. 이 수법은 기존에 흔히 쓰인 자바스크립트나 매크로문서 스팸에서 바뀐 것이다. 아래는 이러한 종류의 소셜엔지니어링(social engineering) 수법을 보여주는 실제 이메일이다. ThreatAnalyzer 분석 위 스팸메일의 WSF를 추출하여 ThreatAnalyzer 맬웨어분석 샌드박스를 통해 분석한 결과는 다음과 같다. WSF에서 문제되는 부분은 스크립트며 따라서 WScript.exe의 요청트리(call tree)가 판단의 주안점이 됐다. 변경된 파일의 수가 많다는 점은 해당 스크립트가 바이러스나 랜섬웨어일..
-
랜섬웨어가 ‘먹히는’ 이유 제2탄: 침투 전략카테고리 없음 2016. 7. 27. 13:46
게시일: 2016-07-05 l 작성자: Trend Micro2016년 상반기는 ‘랜섬웨어의 대활약’ 이라고 요약할 수 있습니다. 온라인 뱅킹 해킹도구 등과 같은 기타 사이버 범죄와 달리, 랜섬웨어는 고급 기술을 보유하고 있지 않아도 쉽게 돈을 벌 수 있는 멀웨어입니다. 따라서 2014년과 2015년 확인된 랜섬웨어가 총 49개였던 것과 비교하여 2016년 6월 말 현재, 이미 50개 이상의 새로운 랜섬웨어 그룹이 확인되고 있습니다.랜섬웨어의 암호화 기술 뒤에 숨겨진 전략을 살펴보는 것 이외에, 침입 전략을 살펴보는 것 또한 중요합니다. 랜섬웨어의 전형적인 침입 전략은 (1) 스팸메일, (2) 변조된 웹사이트 또는 익스플로잇 킷이 포함된 악성 웹사이트 입니다. 위 두 가지 방법은 간단하지만 매우 효과적입..
-
랜섬웨어가 ‘먹히는’ 이유: 암호화 기술 뒤에 숨겨진 전략카테고리 없음 2016. 7. 26. 15:15
랜섬웨어가 ‘먹히는’ 이유: 암호화 기술 뒤에 숨겨진 전략게시일: 2016-06-17 l 작성자: Trend Micro기업은 어떻게 랜섬웨어 공격에 대응할 수 있을까요? 최근 여러 기관에서 랜섬웨어 공격에 대비하여 비트코인을 사들이고 있다는 연구가 있었습니다. 공격 받을 시 빠른 시간 내 중요한 파일을 복구하기 위한 대응책입니다. 하지만 돈을 지불하는 것이 파일 복구를 보장하지 않는 것은 물론이고, 추가적인 랜섬웨어 공격으로 이어질 수 있습니다. 그럼에도 불구하고 랜섬웨어 공격으로 인한 기업 손실과 명예 실추로 인해 추가적인 불이익을 예상한다면, 기업의 이러한 대처를 비난할 수는 없습니다. 지속적인 랜섬웨어의 공격랜섬웨어 피해자가 되지 않기 위해, 이 멀웨어가 어떻게, 그리고 왜 공격을 하는지 이해하는 ..
-
랜섬웨어 예방 및 피해방지 수칙카테고리 없음 2016. 7. 25. 16:41
근래 수많은 회사들을 공격한 랜섬웨어는 현존하는 중대한 위협이다. 랜섬웨어를 방지할 수 있는 가장 효과적인 방법은 바로 교육이며 이에 따라 본 인포그래픽은 기업에서 랜섬웨어 방지를 위해 따라야 할 실천수칙을 정리했다. 인포그래픽은 예방을 위한 대책 및 조언 외에 랜섬웨어가 실제 침투한 경우에 대비한 방안도 제시하고 있다. - 인포그래픽 본문 - 랜섬웨어란 강력한 암호화키로 사용자 파일을 암호화시킨 다음 복호화의 대가로 돈을 요구하는 악성코드다. 랜섬웨어는 주로 이메일 첨부물이나 악성웹사이트 링크를 통해 배포되며 피해방지를 위해서는 예방이 최선책이다. 1. 주기적으로 데이터 백업: 주기적으로 백업이 된 상태라면 랜섬웨어에 감염된 파일을 신속히 되찾을 수 있다. 백업도 감염되는 사태를 방지하기 위해서는 해당..
-
FLocker 랜섬웨어, 스마트TV를 노리다카테고리 없음 2016. 7. 25. 13:53
게시일: 2016-06-15 l 작성자: Echo Duan (Mobile Threat Response Engineer)하나의 플랫폼으로 여러 스마트 디바이스를 사용할 수 있는 것은 삶에 편리성을 가져다 줍니다. 하지만 이 경우, 멀웨어가 1대의 디바이스에 침투하면, 동일한 플랫폼을 공유하는 다른 디바이스도 감염되기 쉽습니다. 최근 유행하는 “FLocker” 랜섬웨어가 이와 같은 경우입니다. 해당 랜섬웨어는 안드로이드 운영체제의 모바일 디바이스를 공격하는 화면잠금형 랜섬웨어이지만, 안드로이드 스마트TV도 감염시킬 수 있습니다. 그림 1. TV 랜섬웨어 화면 2015년 5월, FLocker 랜섬웨어(ANDROIDOS_FLOCKER.A로 명명, Frantic Locker의 줄임말)가 처음 발견된 시기부터 트렌..
-
Cerber 랜섬웨어 공격의 진상카테고리 없음 2016. 7. 22. 15:03
근래 Cerber 랜섬웨어가 오피스365를 노린다고 하여 큰 주목을 받았는데 그 실상은 흔히 알려진 내용과는 약간 다르다. Cerber 랜섬웨어가 오피스365를 공격했다는 내용이 최초로 등장한 출처는 보안업체 Avanan의 웹사이트에 Steven Toole이 게재한 글이며 그 내용을 보면 "제로데이 랜섬웨어 바이러스의 대규모 공격에 오피스365 기업사용자들이 노출됐다"고 기술하고 있다. 그런데 사실 여기에서 언급된 "대규모 공격"이란 Avana 고객 중 오피스365 사용자를 대상으로 한 공격으로 가리키며 오피스365와는 직접 관련이 없는 Avanan 메시지보안플랫폼을 통해 탐지됐다. Cerber가 등장한 이후 몇 시간 지나지 않아 마이크로소프트, 구글, 시만텍, 아바스트, 맥아피 등 수많은 보안업체들이 ..
-
CERBER 변종, 클라우드 기반 서비스를 노린다카테고리 없음 2016. 7. 22. 11:37
게시일: 2016-07-21 l 작성자: Trend Micro기업에서 클라우드 서비스 이용을 확장시킴 따라, 사이버 범죄자들 역시 이를 악용하여 멀웨어를 호스트하고 전달하는 도구로 사용을 확대해나가고 있습니다. 사이버 범죄자는 많은 기업들이 클라우드 기반 생산성 플랫폼을 사용하여 민감한 기업 데이터를 관리하는 것을 주목하고, 이러한 클라우드 상의 정보에 접근할 수 없을 경우 기업 운영에 심각한 영향을 미칠 것을 예상하고 있습니다.위와 같은 상황의 구체적인 예시가 바로 CERBER 크립토 랜섬웨어입니다. 최근 트렌드마이크로에서 탐지한 CERBER의 변종RANSOM_CERBER.CAD는 개인 및 기업 Office 365 사용자를 타겟으로 하고 있는 것을 발견했습니다.그림1. CERBER 최신 변종의 4가지 ..