Ransomware

BlueCrab 랜섬웨어 유포 사이트 공개 (2)

“JS.BlueCrab” 랜섬웨어는 국내 사용자를 타겟으로 유포되는 랜섬웨어로 해외에서는 “Sodinokibi”로 불린다. ASEC분석팀은 해당 랜섬웨어를 지속적으로 모니터링 및 대응 중이며 굵직한 변형이 발생할 때마다 관련 정보를 게시하고 있다. 본 포스팅에서는 유포 사이트에 대한 간략한 설명과 자체적으로 수집 중인 다수의 유포 사이트 URL을 공개한다. 이후 수집한 URL에 대해서도 지속적으로 블로그를 통해 공개할 예정이다. 이전 포스팅: 해당 랜섬웨어는 악성파일 다운로드 및 실행을 유도하는 “가짜 포럼 페이지”를 통해 유포되는 것이 특징이다. 가짜 포럼 페이지는 특정 파일을 공유하는 포럼 페이지로 위장하고 있으며, 공격자가 게시한 “유포 게시글”로…

BlueCrab 랜섬웨어 유포 사이트 공개 (1)

“JS.BlueCrab” 랜섬웨어는 국내 사용자를 타겟으로 유포되는 랜섬웨어로 해외에서는 “Sodinokibi”로 불린다. ASEC분석팀은 해당 랜섬웨어를 지속적으로 모니터링 및 대응 중이며 굵직한 변형이 발생할 때마다 관련 정보를 게시하고 있다. 본 포스팅에서는 유포 사이트에 대한 간략한 설명과 자체적으로 수집 중인 다수의 유포 사이트 URL을 공개한다. 이후 수집한 URL에 대해서도 지속적으로 블로그를 통해 공개할 예정이다. 해당 랜섬웨어는 악성파일 다운로드 및 실행을 유도하는 “가짜 포럼 페이지”를 통해 유포되는 것이 특징이다. 가짜 포럼 페이지는 특정 파일을 공유하는 포럼 페이지로 위장하고 있으며, 공격자가 게시한 “유포 게시글”로 부터 로드된다….

공정거래위원회를 사칭한 Makop 랜섬웨어 유포 (2020.10.06)

ASEC 분석팀은 10월 6일 오전에 공정거래위원회를 사칭한 피싱 메일을 통해 Makop 랜섬웨어를 유포하고 있는 정황을 확인하였다. 기존 Makop 랜섬웨어는 포트폴리오, 이력서 등을 사칭하여 국내에 활발하게 유포되고 있었다. 아래의 [그림1],[그림2]와 같이 전자상거래 위반행위 조사통지서 내용의 그림을 본문 내용에 삽입 후 첨부된 압축파일을 열람하도록 유도하였다. Makop 랜섬웨어는 지난 블로그에서도 메일을 통해 활발히 유포 중이라고 공개한 바있다. 이번 유포 확인을 통해 여전히 공격자는 해당 랜섬웨어의 유포 방식으로 피싱 메일을 택하고 있음을 알 수 있다. (이전 블로그 : asec.ahnlab.com/1379) 메일에 첨부 된 ‘전산 및…

국내에 지속적으로 유포 중인 Makop 랜섬웨어 (이메일 첨부)

ASEC 분석팀에서는 올해 4월에 이력서로 위장하여 유포되던 makop 랜섬웨어가 8월부터 다시 활발하게 유포되고 있음을 확인하였다. 2020/04/13 – [악성코드 정보] – [주의] 이력서로 위장한 makop 랜섬웨어 (04.13)  해당 랜섬웨어는 여전히 이메일 형태로 유포되고 있으며 HWP, PDF와 같은 문서 형태의 실행 파일(.exe) 아이콘으로 위장하고 있다. 20200908(경력사항도같이확인부탁드립니다 열심히하겠습니다).exe 입사지원서_20200907(경력사항도같이기재되어있습니다 참고바랍니다 열심히하겠습니다).exe 경력사항_200828(경력사항도 같이 확인부탁드리겠습니다 열심히하겠습니다).exe 경력사항_200826(경력사항도 같이 확인부탁드리겠습니다 열심히하겠습니다).exe 경력사항_200824(경력사항도 같이 기재하였으니 확인부탁드릴께요 열심히하겠습니다 감사합니다).exe 문의사항(급하게 문의사항이 있어서 메일드리니 빠르게 처리 부탁드릴께요).exe 1.문의사항(아무래도 긴급한 일이라 부탁좀 드리겠습니다 감사합니다).exe 포트폴리오_200824(경력사항도 같이 기재하였으니 확인부탁드릴께요 열심히…

[주의] 특정 기업을 타깃으로 유포되는 WastedLocker 랜섬웨어

지난 7월 23일에 스마트 워치 및 웨어러블 제조업체인 ‘Garmin’이 WastedLocker 이름의 랜섬웨어 공격을 받아 서비스 및 생산라인이 중단되는 이슈가 발생했었다. 해당 랜섬웨어의 제작자는 ‘Evil Corp’라는 러시안 사이버 범죄 그룹으로 알려져 있으며 이들은 특정 기업을 대상으로 APT 공격을 수행한 뒤, 침투 테스킹 도구인 Cobalt Striker를 이용하여 WastedLocker 랜섬웨어를 배포한 것으로 추정된다. WastedLocker는 시스템 내의 파일을 암호화 시켜 복호화해주는 대가로 금전을 요구하는 전형적인 랜섬웨어의 특징을 가진 악성코드이다. 특히나 WastedLocker 랜섬웨어 같은 경우, 프로그램에 전달되는 특정 매개 변수 조건에 따라 암호화 범위를 컨트롤…