Ransomware

공정거래위원회를 사칭한 Makop 랜섬웨어 유포 (2020.10.06)

ASEC 분석팀은 10월 6일 오전에 공정거래위원회를 사칭한 피싱 메일을 통해 Makop 랜섬웨어를 유포하고 있는 정황을 확인하였다. 기존 Makop 랜섬웨어는 포트폴리오, 이력서 등을 사칭하여 국내에 활발하게 유포되고 있었다. 아래의 [그림1],[그림2]와 같이 전자상거래 위반행위 조사통지서 내용의 그림을 본문 내용에 삽입 후 첨부된 압축파일을 열람하도록 유도하였다. Makop 랜섬웨어는 지난 블로그에서도 메일을 통해 활발히 유포 중이라고 공개한 바있다. 이번 유포 확인을 통해 여전히 공격자는 해당 랜섬웨어의 유포 방식으로 피싱 메일을 택하고 있음을 알 수 있다. (이전 블로그 : asec.ahnlab.com/1379) 메일에 첨부 된 ‘전산 및…

국내에 지속적으로 유포 중인 Makop 랜섬웨어 (이메일 첨부)

ASEC 분석팀에서는 올해 4월에 이력서로 위장하여 유포되던 makop 랜섬웨어가 8월부터 다시 활발하게 유포되고 있음을 확인하였다. 2020/04/13 – [악성코드 정보] – [주의] 이력서로 위장한 makop 랜섬웨어 (04.13)  해당 랜섬웨어는 여전히 이메일 형태로 유포되고 있으며 HWP, PDF와 같은 문서 형태의 실행 파일(.exe) 아이콘으로 위장하고 있다. 20200908(경력사항도같이확인부탁드립니다 열심히하겠습니다).exe 입사지원서_20200907(경력사항도같이기재되어있습니다 참고바랍니다 열심히하겠습니다).exe 경력사항_200828(경력사항도 같이 확인부탁드리겠습니다 열심히하겠습니다).exe 경력사항_200826(경력사항도 같이 확인부탁드리겠습니다 열심히하겠습니다).exe 경력사항_200824(경력사항도 같이 기재하였으니 확인부탁드릴께요 열심히하겠습니다 감사합니다).exe 문의사항(급하게 문의사항이 있어서 메일드리니 빠르게 처리 부탁드릴께요).exe 1.문의사항(아무래도 긴급한 일이라 부탁좀 드리겠습니다 감사합니다).exe 포트폴리오_200824(경력사항도 같이 기재하였으니 확인부탁드릴께요 열심히…

[주의] 특정 기업을 타깃으로 유포되는 WastedLocker 랜섬웨어

지난 7월 23일에 스마트 워치 및 웨어러블 제조업체인 ‘Garmin’이 WastedLocker 이름의 랜섬웨어 공격을 받아 서비스 및 생산라인이 중단되는 이슈가 발생했었다. 해당 랜섬웨어의 제작자는 ‘Evil Corp’라는 러시안 사이버 범죄 그룹으로 알려져 있으며 이들은 특정 기업을 대상으로 APT 공격을 수행한 뒤, 침투 테스킹 도구인 Cobalt Striker를 이용하여 WastedLocker 랜섬웨어를 배포한 것으로 추정된다. WastedLocker는 시스템 내의 파일을 암호화 시켜 복호화해주는 대가로 금전을 요구하는 전형적인 랜섬웨어의 특징을 가진 악성코드이다. 특히나 WastedLocker 랜섬웨어 같은 경우, 프로그램에 전달되는 특정 매개 변수 조건에 따라 암호화 범위를 컨트롤…

랜섬노트가 변경 된 BlueCrab 랜섬웨어 EXE (2020.03.11)

ASEC분석팀은 작년부터 활발히 유포 중인 Bluecrab(=Sodinokibi) 랜섬웨어 실행파일(EXE)이 3월 11일 부터 랜섬노트가 변경되어 유포되고 있음을 확인하였다. 확인 된 유포방식은 Drive-By-Download 기법으로 다운로드되어 실행된 것으로 확인되었다. 그러나 이력서와 같은 방식으로 유포 될 가능성도 있으므로 사용자의 주의가 요구된다. 랜섬노트 (3월 19일) 변경 된 바탕화면 (3월 19일) 특정 파일, 폴더를 제외 하고 감염하는 것과 특정 프로세스가 존재하면 종료하는 행위, 특정 서비스 비활성화, 파워쉘을 이용해 볼륨섀도우카피를 삭제하는 방법까지 모두 과거 BlueCrab 과 동일하다. [감염 제외 폴더] “program files” “boot” “msocache” “appdata” “program files (x86)” “perflogs”…

이력서로 위장해 유포중인 NEMTY v2.6 발견(2020.03.17)

ASEC 분석팀은 3월 17일 이력서로 위장한 NEMTY 랜섬웨어가 버전 2.6으로 업데이트 되어 유포 됨을 확인하였다. 2020년 1월 부터 3월까지 확인된 NEMTY 랜섬웨어의 버전은 2.5였다. 과거와 현재 모두 실제 이력서를 지원하는것 처럼 위장해 메일을 보내기 때문에 기업의 인사 담당자들이 특히 감염되기 쉬워 각별한 주의가 필요하다. 현재까지 확인된 유포에 사용된 파일명들은 다음과 같다. 포트폴리오(200317)_뽑아주시면 열심히하겠습니다.exe 입사지원서(200317)_뽑아주시면 열심히하겠습니다.exe 실제 유포에 사용된 이메일의 내용은 다음과 같다. 뮤텍스(Mutex) 이름을 제외하고는 기존에 유포되었던 NEMTY 2.5와 동일한 기능을 가진다. 해당 랜섬웨어 행위관련 상세한 내용은 아래 블로그를 참고하면…