국내은행을 사칭한 소디노키비(Sodinokibi) 랜섬웨어 유포 (2019-08-26)

뉴딜코리아 홈페이지 

국내은행을 사칭한 소디노키비(Sodinokibi) 랜섬웨어 유포

(2019-08-26)

○ 특정기관을 타깃으로 한 우리은행 사칭 악성 이메일 공격이 발견돼 주의 요구

이스트시큐리티에 따르면 지난 23일부터 이러한 공격메일이 확인
 - 첨부파일을 실행하면 소디노키비(Sodinokibi) 랜섬웨어에 감염된다

공격자는 메일 발신자명을 ‘Woori Financial Departments’를 사용했으며, ‘지불 정지. 우리 은행’이라는 메일 제목을 사용했다.

또한, 첨부한 압축파일 역시 ‘우리_은행’이라는 이름 사용

첨부된 압축 파일을 해제하면 '결제정보_세부정보가 잘못 입력되었습니다'라는 이름으로 MS워드 문서 파일을 위장한 실행(exe) 파일이 나타난다.

이 실행파일을 클릭하게 되면 소디노키비(Sodinokibi) 랜섬웨어에 감염된다.

특이하게 해당 이메일을 텍스트뷰어 프로그램으로 열람하면 러시아 대문호인 ‘톨스토이’에 관한 소개 내용을 확인할 수 있다는 것도 특이점이다.

이메일을 분석한 결과, 메일 발송 방식 등의 여러 가지 정황상 '리플라이 오퍼레이터'라는 기존 해킹 조직의 소행으로 판단된다고 밝혔다.(이스트시큐리티)

보안담당자는 출처가 불분명한 메일의 첨부파일을 다운로드하는 것을 금지하고, 파일 실행 전 백신 프로그램을 이용해 악성 여부를 점검 필요


☞ 참고 : 소디노키비 랜섬웨어 분석정보 및 주요 특징

컨설팅 : ISMS-P, ISO27001, GDPR, PCI-DSS 

취약점 진단 및 모의 침투

개인정보 비식별화 솔루션

보안솔루션 공급
070-7867-3721, ismsbok@gmail.com