랜섬웨어뉴스

러시아 해킹 조직으로 추정되는 TA505그룹이 지난해 12월부터 국내 금융권을 상대로 '스피어 피싱' 메일을 통해 새로운 랜섬웨어를 유포한 정황이 포착됐다.

30일 금융보안원이 발간한 'TA505 위협그룹 프로파일' 보고서에 따르면 이 조직은 2014년부터 기업정보 탈취, 금전적 대가 등을 목적으로 금융권과 에너지 업종을 공격해왔다.

액티브 디렉토리(AD)서버 해킹, 계정 탈취, 파일 암호화 등을 수행할 수 있도록 공격 단계별로 원격제어 악성코드, 랜섬웨어 등 다양한 악성코드를 사용하는 것이 특징이다. 

또한 일주일 중 목요일(26.1%)과 수요일(24%), 통상적인 출근 시간인 평일 오전 7시부터 9시 사이에 스피어 피싱 메일을 집중적으로 발송했다. 네이버, 구글, 마이크로소프트 등을 사칭한 피싱 페이지를 운영하며 계정정보 탈취 등 추가적인 공격을 시도하기도 했다.

지난해 12월부터는 또 다시 국내 금융권에 보안 메일 등을 사칭한 대량의 스피어 피싱 메일을 발송한 것으로 파악된다. 파일을 암호화하는 신종 랜섬웨어를 유포했다.
 

[ 아이뉴스24 ] 김국배 기자​원문보기