기업의 백신 잠금 정책 미사용으로 인한 Lockis 랜섬웨어 감염 사례
지난 11월경 안랩의 한 고객사에서 다수의 서버가 Lockis 랜섬웨어에 감염된 사고가 발생했다. 피해 업체는 V3 백신을 사용하고 있었음에도 불구하고 랜섬웨어에 감염되어 감염 원인을 파악하기 위해 안랩 A-FIRST가 투입돼 포렌식 분석을 수행했다. Lockis 랜섬웨어는 “ASEC 블로그 : Lockis 랜섬웨어와 함께 사용된 해킹 툴” 포스팅에서 언급한 바와 같이 GlobImposter 랜섬웨어의 변종으로, 9월
Lockis 랜섬웨어와 함께 사용된 해킹 툴
안랩 A-FIRST는 지난 11월경 Lockis 랜섬웨어에 감염된 피해 시스템을 대상으로 포렌식 분석을 수행했다. Lockis 랜섬웨어는 러시아 공격 그룹인 TA505가 사용하는 GlobeImposter 랜섬웨어의 변종으로, 지난 9월 16일 처음 등장했다. GlobeImposter 랜섬웨어는 2017년 2월에 처음 등장한 이래로 꾸준히 변종이 증가해 현재까지 총 192개의 변종이 발견됐다. 공격자는 랜섬웨어 감염을 위해 악성 스팸
동일한 패스워드가 설정된 Local Administrator 계정을 사용하는 기업의 랜섬웨어 감염 사례
ASEC 분석팀은 최근 Lockis 랜섬웨어 감염 피해를 입은 업체의 피해 시스템들을 분석한 결과, 공격자가 피해 시스템들에 로컬 Administrator 계정으로 RDP 접속 후 랜섬웨어를 실행시킨 것을 확인했다. 피해 시스템들의 로컬 Administrator 정보를 조사한 결과, 1~2년동안 패스워드를 변경하지 않았으며, 모두 동일한 패스워드가 설정돼 있는 것으로 확인됐다. [그림 1] 피해 시스템들의 로컬 Administrator
