랜섬웨어

CLOP 랜섬웨어 공격 보고서

안랩 시큐리티대응센터(ASEC)은 최근 유통 대기업 A사를 공격한 CLOP 랜섬웨어와 CLOP 랜섬웨어의 유포 및 공격 방식에 대해 분석 보고서를 공개한다. 이 보고서는 2020년 유통 대기업 A사 공격에 사용된 CLOP 랜섬웨어 파일의 복구 가능성과 연관 파일, 그리고 2019년에 여러 기업 공격에 사용된 CLOP 랜섬웨어 유포 과정을 설명한다. 또한 현재까지 확인된 CLOP 랜섬웨어의 주요 변화와 특징에 대해서도 기술한다. 개요 유통 대기업 공격 CLOP 랜섬웨어1) 복구 가능성2) 동일 인증서 포함 파일 기업 공격 과정1) 공격 대상2) 공격 과정 [Ⅰ 준비] 최초 공격 대상자에게 이메일…

BlueCrab 랜섬웨어 유포 사이트 공개 (2)

“JS.BlueCrab” 랜섬웨어는 국내 사용자를 타겟으로 유포되는 랜섬웨어로 해외에서는 “Sodinokibi”로 불린다. ASEC분석팀은 해당 랜섬웨어를 지속적으로 모니터링 및 대응 중이며 굵직한 변형이 발생할 때마다 관련 정보를 게시하고 있다. 본 포스팅에서는 유포 사이트에 대한 간략한 설명과 자체적으로 수집 중인 다수의 유포 사이트 URL을 공개한다. 이후 수집한 URL에 대해서도 지속적으로 블로그를 통해 공개할 예정이다. 이전 포스팅: 해당 랜섬웨어는 악성파일 다운로드 및 실행을 유도하는 “가짜 포럼 페이지”를 통해 유포되는 것이 특징이다. 가짜 포럼 페이지는 특정 파일을 공유하는 포럼 페이지로 위장하고 있으며, 공격자가 게시한 “유포 게시글”로…

BlueCrab 랜섬웨어 유포 사이트 공개 (1)

“JS.BlueCrab” 랜섬웨어는 국내 사용자를 타겟으로 유포되는 랜섬웨어로 해외에서는 “Sodinokibi”로 불린다. ASEC분석팀은 해당 랜섬웨어를 지속적으로 모니터링 및 대응 중이며 굵직한 변형이 발생할 때마다 관련 정보를 게시하고 있다. 본 포스팅에서는 유포 사이트에 대한 간략한 설명과 자체적으로 수집 중인 다수의 유포 사이트 URL을 공개한다. 이후 수집한 URL에 대해서도 지속적으로 블로그를 통해 공개할 예정이다. 해당 랜섬웨어는 악성파일 다운로드 및 실행을 유도하는 “가짜 포럼 페이지”를 통해 유포되는 것이 특징이다. 가짜 포럼 페이지는 특정 파일을 공유하는 포럼 페이지로 위장하고 있으며, 공격자가 게시한 “유포 게시글”로 부터 로드된다….

새롭게 변형되어 유포 중인 JS.BlueCrab 랜섬웨어

ASEC 분석팀은 JS형태로 유포되는 BlueCrab 랜섬웨어의 감염 과정에서 큰 변형이 발생한 것을 확인하여 관련 내용을 공유하고자 한다. JS.BlueCrab 랜섬웨어는 다운로드 페이지를 위장한 피싱 페이지로부터 유포된다. 공격자는 취약한 워드프레스 환경의 웹 서버를 탈취하여 다수의 악성 게시글을 업로드 하며 해당 악성 게시글에 접속 시 다음과 같이 다운로드 페이지로 위장한 피싱 페이지가 출력된다. 각 게시글마다 키워드를 다르게 하여 사용자의 악성코드 다운로드를 유도한다. 모니터링 과정에서 다음 그림처럼 외국어(독일어)로 된 피싱 페이지도 존재하는 것을 확인했다. 피싱 페이지에서 다운로드된 .JS 파일은 BlueCrab 랜섬웨어를 다운로드하여 실행하는 스크립트로…

공정거래위원회를 사칭한 Makop 랜섬웨어 유포 (2020.10.06)

ASEC 분석팀은 10월 6일 오전에 공정거래위원회를 사칭한 피싱 메일을 통해 Makop 랜섬웨어를 유포하고 있는 정황을 확인하였다. 기존 Makop 랜섬웨어는 포트폴리오, 이력서 등을 사칭하여 국내에 활발하게 유포되고 있었다. 아래의 [그림1],[그림2]와 같이 전자상거래 위반행위 조사통지서 내용의 그림을 본문 내용에 삽입 후 첨부된 압축파일을 열람하도록 유도하였다. Makop 랜섬웨어는 지난 블로그에서도 메일을 통해 활발히 유포 중이라고 공개한 바있다. 이번 유포 확인을 통해 여전히 공격자는 해당 랜섬웨어의 유포 방식으로 피싱 메일을 택하고 있음을 알 수 있다. (이전 블로그 : asec.ahnlab.com/1379) 메일에 첨부 된 ‘전산 및…