AhnLab EDR을 활용한 Akira 랜섬웨어 공격 사례 탐지
Akira는 상대적으로 새롭게 등장한 랜섬웨어 공격자로서 2023년 3월부터 활동하고 있다. 다른 랜섬웨어 공격자들과 유사하게 조직에 침투한 이후 파일을 암호화할 뿐만 아니라 민감한 정보를 탈취해 협상에 사용한다. 실제 다음과 같은 2024년 통계에서도 Akira 랜섬웨어에 의한 피해 기업의 수가 상위권을 차지하고 있다. [1] Figure 1. 2024년 랜섬웨어 피해 통계 공격자는 랜섬웨어를 통해
AhnLab EDR을 활용한 Play 랜섬웨어 공격 사례 탐지
Play 랜섬웨어는 Balloonfly 또는 PlayCrypt라고도 불리며 2022년 6월 최초로 확인된 이후 현재까지 전 세계에서 300개 이상의 조직을 공격한 것으로 알려져 있다. 파일 암호화 이후 “.PLAY” 확장자를 추가하는 것이 특징이며 최근까지도 활발하게 활동하고 있다. 다른 랜섬웨어 공격자들과 동일하게 시스템들을 암호화하기 전에 정보를 탈취하여 피해자를 협박하며 웹 사이트에서 공격당한 업체의 리스트들을 공개한다.
Lockis 랜섬웨어와 함께 사용된 해킹 툴
안랩 A-FIRST는 지난 11월경 Lockis 랜섬웨어에 감염된 피해 시스템을 대상으로 포렌식 분석을 수행했다. Lockis 랜섬웨어는 러시아 공격 그룹인 TA505가 사용하는 GlobeImposter 랜섬웨어의 변종으로, 지난 9월 16일 처음 등장했다. GlobeImposter 랜섬웨어는 2017년 2월에 처음 등장한 이래로 꾸준히 변종이 증가해 현재까지 총 192개의 변종이 발견됐다. 공격자는 랜섬웨어 감염을 위해 악성 스팸
