러시아와 우크라이나 간의 지속적인 갈등은 우리 모두 잘 알고 있습니다. 지상에서 물리적 전쟁이 벌어지면서 러시아와 우크라이나를 겨냥한 사이버 공격도 증가하고 있습니다. 지난 몇 주 동안 갈등이 심화됨에 따라 악의적인 사이버 활동이 증가하고 있습니다. 이 기사에서는 러시아와 우크라이나 관련 뉴스에서 보도된 대부분의 악의적인 공격 사례를 다루었습니다. 러시아-우크라이나 사이버전쟁.
- 밀폐형 와이퍼:
이 악성코드는 23월 XNUMX일에 처음 발견되었으며 우크라이나를 표적으로 삼았습니다. HermeticWiper는 Hermetica Digital Ltd.의 인증서를 기반으로 명명되었습니다. EaseUS의 합법적인 드라이버를 악용하여 프로세스를 서비스로 로드하여 삭제합니다. 또한 레지스트리 항목과 볼륨 섀도 복사본을 사용하여 크래시 덤프를 비활성화합니다. 여러 위치의 MBR, MFT 및 파일을 무작위 바이트로 덮어씁니다. 감염된 컴퓨터는 MBR이 덮어씌워져 부팅에 실패합니다.
- 위스퍼게이트:
이 악성코드는 13년 2022월 16일에 처음 발견되었으며 우크라이나를 표적으로 삼았습니다. MBR 코드를 2비트 어셈블리 코드와 랜섬 노트로 덮어씌워 디스크를 손상시킵니다. 이 경우 랜섬 노트는 단순한 전략일 뿐이며 복구 방법은 없습니다. MBR 덮어쓰기가 실패하면 파일 손상 도구를 사용하는 0단계 공격이 진행됩니다. 이 악성코드는 특정 디렉터리의 특정 확장자 파일을 고정된 개수의 XNUMXxCC 바이트로 덮어씌우고, 파일 이름에 임의의 확장자를 추가합니다.
- 아이작 와이퍼:
우크라이나를 표적으로 삼는 또 다른 악성코드입니다. Isaac Wiper는 24년 2022월 0일에 처음 발견되었습니다. 이 악성코드는 물리적 드라이브를 식별하고 각 디스크의 첫 10000xXNUMX 바이트를 삭제합니다. 또한, 이 악성코드는 논리적 드라이브도 식별하여 해당 드라이브의 모든 파일을 무작위 바이트로 삭제할 수 있습니다.
- RU랜섬:
이름과 달리 RURansom은 암호화된 파일을 되돌릴 수 없게 파괴하기 때문에 랜섬웨어 변종이 아닌 와이퍼(wiper)입니다. 웜처럼 모든 이동식 디스크와 연결된 네트워크 드라이브에 자기 자신을 복제하여 확산됩니다. 확산 후 ".bak" 파일을 제외한 모든 파일 확장자를 암호화하기 시작하며, 이 파일들은 삭제됩니다. 파일은 base64 길이의 무작위 생성 키로 암호화됩니다. RURansom이 사용하는 암호화 알고리즘은 AES-CBC입니다.
RURansom에서 사용하는 암호화 키는 암호화된 각 파일마다 고유하며 어디에도 저장되지 않습니다. 따라서 암호화를 되돌릴 수 없게 되고, 해당 맬웨어는 랜섬웨어 변종이 아닌 와이퍼(wiper)로 표시됩니다. 멀웨어 변종 러시아 외부에서 실행되지 않도록 IP 주소를 확인하세요.
Seqrite는 사용자를 어떻게 보호하나요?
Seqrite는 다음 탐지 이름으로 위에 나열된 맬웨어를 탐지합니다.
- 위스퍼그테.S26928601
- 위스퍼그테.S26928613
- 위스퍼게이트시르
- HrmetcWipr.S26876287
- 헤르메틱 와이퍼시르
- 헤르메틱 와이퍼
- Win32CiR
- 루랜섬
- MSIL
맺음말
러시아-우크라이나 갈등이 계속됨에 따라, 악성코드 개발자들은 새로운 도구와 수법을 사용하여 피해자를 유인하고 있습니다. 이러한 진화하는 사이버 공격에 대한 최선의 방어책은 경계를 늦추지 않고 안전한 사이버 보안을 실천하는 것입니다.
Seqrite EPS 제품을 최신 바이러스 정의로 업데이트하세요. 시크라이트 모든 상황을 지속적으로 모니터링하고 있으며, 탐지된 정보를 시의적절하게 업데이트할 예정입니다. 현재로서는 신고된 모든 악성코드에 대한 보호 조치를 갖추고 있습니다.
