본문 바로가기

보안칼럼

이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.

2022년1분기,알약을통해총177,732건의에볼루션 바카라행위기반공격이차단된것으로확인되었습니다.


이번통계는개인사용자를대상으로무료제공하는공개용알약의‘에볼루션 바카라행위기반차단기능’을통해차단된공격만을집계한결과로,패턴기반탐지건까지포함한다면전체공격은더욱많을것으로예상됩니다.

1분기알약을통해차단된에볼루션 바카라의공격은총177,732건으로,일간기준으로환산하면일평균약1,974건의에볼루션 바카라공격이차단된것으로볼수있습니다.

에볼루션 바카라의공격건수는2021년도4분기에비해약1만4천여건증가하였습니다.

에볼루션 바카라


ESRC는2022년1분기에볼루션 바카라주요동향을다음과같이선정하였습니다.

1)러시아,우크라이나전쟁과에볼루션 바카라
2) 꾸준히 에볼루션 바카라를 유포 중인 비너스락커 조직
3)타이포스쿼팅을통해유포되는매그니베르에볼루션 바카라
4)글로벌기업들의에볼루션 바카라피해지속

2022년1분기,러시아의우크라이나침공이세계적인이슈였습니다.사회적,경제적등다양한방면에서혼란을야기하였으며,해당이슈를이용한에볼루션 바카라공격도발견되었습니다.

HermeticRansom에볼루션 바카라는우크라이나시스템을노린타깃형공격에사용된에볼루션 바카라로,해당에볼루션 바카라는일반적인에볼루션 바카라처럼금전갈취가아닌와이퍼공격의미끼역할을주목적으로하고있습니다.하지만얼마지나지않아Avast에서해당에볼루션 바카라의복호화툴을개발하여무료로제공하였습니다.

또한러시아를타깃으로하는에볼루션 바카라가발견되었는데,일반에볼루션 바카라와다르게랜섬머니를요구하지않으며,대신전쟁을멈추라는메시지를띄웁니다.

우크라이나연구원이Conti에볼루션 바카라의소스코드를포함한정보를유출시켰습니다.이는Conti에볼루션 바카라가우크라이나를공격하는러시아정부를지지한다는공지를띄운것에대한보복으로추측되고있습니다.

비너스락커조직의활동도활발히이어지고있습니다.
2017년도부터국내에지속적으로에볼루션 바카라를유포하고있는비너스락커조직은최근에도이력서,저작권위반등의내용을통하여국내에꾸준히에볼루션 바카라를유포중에있습니다.최근에는꾸준히Makop에볼루션 바카라를유포하다처음으로LockBit에볼루션 바카라를유포한정황도확인되었습니다.

타이포스쿼팅방식을이용한매그니베르에볼루션 바카라의유포정황도다시확인되었습니다.매그니베르에볼루션 바카라는크롬및엣지브라우저사용자를대상으로사용자의도메인주소오입력혹은철자가틀리는경우를악용한타이포스쿼팅방식을이용하여유포중이며,사용자가잘못된도메인주소를입력하면다른페이지로리디렉션시켜최종적으로msi파일을내려줍니다.만일사용자가해당파일을실행할경우,최종적으로매그니베르에볼루션 바카라에감염됩니다.

글로벌 기업들의 에볼루션 바카라 피해도 지속되고 있습니다. 명품 의류 브랜드인 몽클레르는 21년 12월AlphV/BlackCat 에볼루션 바카라의 공격을 받아 데이터가 유출되었으며, 21년 1월 중순 Tor 네트워크 내 유출된 데이터가 공개되었습니다. 항공 서비스 회사인 Swissport International이 에볼루션 바카라의 공격을 받아 일부 항공편이 지연되었으며, Nvidia 역시 에볼루션 바카라의 공격을 받아 일부 시스템이 영향을 받은 것으로 확인되었습니다.

이밖에ESRC에서선정한2022년1분기새로발견되었거나주목할만한에볼루션 바카라는다음과같습니다.

에볼루션 바카라
주요내용
AvosLocker
2021년 여름 처음 등장한 에볼루션 바카라.보안 솔루션을 우회하기 위하여 안전모드로 재부팅 하여 암호화를 진행.최근에는VMware ESXi가상 머신을 노린 리눅스 버전이 추가됨.
Night Sky
2021년 말 등장한 에볼루션 바카라로 파일을 암호화 한 후'.nightsky'확장자를 추가하여Night Sky라 명명됨.중국 공격자인DEV-0401조직의 새로운 캠페인으로, Log4shell취약점을 악용하여VMware Horizon시스템에Night Sky에볼루션 바카라 유포함.
Sugar
202111월 처음 등장한 악성코드로,다른 에볼루션 바카라 패밀리 코드를 차용한Delphi에볼루션 바카라.다른 에볼루션 바카라들과 달리 기업 전체보다는 개별 컴퓨터를 공격하는데 중점을 둠. REvil에볼루션 바카라와 몇가지 유사점이 발견되었으며,패스워드 복호화 페이지는Clop의 운영자가 사용하는것과 유사.이에 에볼루션 바카라 개발자가 동일하거나,주요 공격자가 계열사에 제공하는 서비스 중의 일부로 추정됨.
Putinwillburninhell
공격 대상은 러시아이며,다른 에볼루션 바카라들과 다르게 랜섬머니를 요구하지 않고 대신 전쟁을 멈추라는 메시지를 띄움.
DeadBolt
1월 처음 등장한 에볼루션 바카라로,취약한QNAP NAS장치를 대상으로 공격을 진행하였으며, Asustor NAS에 대해서도 공격 진행. Emsisoft에서 복호화 툴 개발 및 공개.
Cuba
2019년 말 등장하였으며COLDDRAW에볼루션 바카라라고도 불림. 20년21년에 활발히 활동함.최근에는MS Exchange취약점을 악용하여 기업 네트워크에 대한 초기 액세스 권한을 얻어 암호화 진행.
SunCrypt
2019년10월처음등장하였으며파일암호화,탈취한데이터공개협박,랜섬머니를지불하지않은사용자를대상으로DDoS공격을진행하는에볼루션 바카라.2022년변종에는프로세스종료,서비스중지,에볼루션 바카라실행을위한시스템정리등의기능이추가됨.아직초기개발단계에있는것으로추정됨.

에볼루션 바카라유포케이스의대다수는이메일형태지만,코로나19바이러스확산방지를위해재택근무를수행하는임직원이증가함에따라기업내부망접속을위해사용되는재택근무단말기OS/SW보안업데이트점검을의무화하고임직원보안인식교육도병행해야합니다.

이스트시큐리티는에볼루션 바카라감염으로인한국내사용자피해를미연에방지하기위해,한국인터넷진흥원(KISA)과의긴밀한협력을통해에볼루션 바카라정보수집과유기적인대응협력을진행하고있습니다.

참고 :