신사의 가면 뒤에 숨은 협박, Gentlemen 랜섬웨어 분석
Gentlemen 랜섬웨어 그룹은 2025년 8월경 처음으로 식별된 신규 랜섬웨어 그룹이다. 해당 그룹은 기업 네트워크 침투 후 데이터를 외부로 유출하고 암호화한 뒤 이를 협박 수단으로 활용하는 이중 갈취(Double Extortion) 모델을 운영하고 있다. 침해 과정에서는 그룹 정책(GPO) 변조, 정식 서명 드라이버 악용(BYOVD) 등 고도화된 랜섬웨어 그룹에서 확인되는 전형적인 기술들을 활용한다. 현재까지는 Raas
빗나가지 않는 창, Cephalus 랜섬웨어 분석
Cephalus는 2025년 6월 중순 처음 등장한 신생 랜섬웨어 그룹이다. 해당 그룹은 자신들을 100% 금전적 동기로 활동한다고 소개하고 있다. 진입 방법은 주로 다중 인증이 설정되지 않은 RDP(Remote Desktop Protocol) 계정을 통한 계정 탈취를 활용하였다. 운영 방식은 일종의 맞춤형 랜섬웨어로 특정 조직 타깃을 정해 침해 후 데이터를 유출하고 암호화한다는 점이 특징적이며, RaaS로
El Dorado의 귀환, 빠르게 성장하는 RaaS 그룹 BlackLock 랜섬웨어 분석
BlackLock은 2024년 3월경 결성된 것으로 추정되는 비교적 신생 랜섬웨어 갱단이다. 초기에는 El Dorado라는 이름으로 활동했으며, 2024년 9월경 BlackLock으로 리브랜딩했다. 본 게시글에서는 BlockLock 랜섬웨어의 특징과 임호화 방식, 그리고 공격자가 암호화된 파일을 복호화하기 위해 사용한 기술들에 대해 분석함으로써, 향후 유사한 위협에 대비하기 위한 인사이트를 제공하고자 한다. 1. 개요 1.1. BlockLock BlackLock은
웹하드를 통해 유포 중인 DDoS IRC Bot 악성코드 (GoLang)
ASEC 분석팀에서는 국내 수집되고 있는 악성코드들의 유포지를 모니터링하던 중 Go 언어로 개발된 DDoS IRC 봇 악성코드들이 성인 게임을 위장하여 웹하드를 통해 설치되고 있는 사실을 확인하였다. 웹하드는 국내 환경에서 악성코드 유포에 활용되는 대표적인 플랫폼으로써 과거 njRAT이나 UDP Rat을 유포한 사례가 있다. 웹하드를 통해 유포 중인 UDP Rat 악성코드 최근 확인되고 있는
