2024-04-24 15:55 (수)
카세야 랜섬웨어 공격한 REvil 조직…랜섬머니 70만 달러 요구
상태바
카세야 랜섬웨어 공격한 REvil 조직…랜섬머니 70만 달러 요구
  • 페소아 기자
  • 승인 2021.07.06 13:11
이 기사를 공유합니다
사내 VSA 서버는 재시작 전에 패치 설치해야

지난 2일, 수천 개 기업을 위협하는 감염 체인을 촉발한 대규모 공급망 랜섬웨어 공격이 진행된 가운데, 러시아와 연결된 악명 높은 REvil 사이버 범죄 조직이 어떻게 전례없는 해킹을 했는지에 대한 새로운 세부 정보가 나왔다.

더해커뉴스 보도에 따르면, 지난 일요일 네덜란드 취약점 공개 연구소(DIVD)는 Kaseya에게 회사의 VSA 소프트웨어에 있는 제로데이 취약점(CVE-2021-30116)이 랜섬웨어 배포를 위한 통로로 악용되고 있다고 경고했다고 밝혔다. 연구소는 7월 2일 공격이 발생했을 때 회사가 협력된 취약점 공개의 일환으로 문제를 해결하는 중이라고 밝혔다.

결함에 대한 자세한 내용은 공유되지 않았지만 DIVD 의장 Victor Gevers는 제로데이가 악용하기 쉽다고 암시했다. ESET에 따르면 영국, 남아프리카 공화국, 캐나다, 아르헨티나, 멕시코, 인도네시아, 뉴질랜드, 케냐 등 17개국 이상에서 피해자가 확인된 가운데 최소 1,000개의 기업이 공격의 영향을 받은 것으로 알려졌다.

Kaseya VSA는 MSP(Managed Service Provider)를 위한 클라우드 기반 IT 관리 및 원격 모니터링 솔루션으로, 엔드포인트를 모니터링 및 관리하고, IT 프로세스를 자동화하며, 보안 패치를 배포하고, 이중 인증을 통해 액세스를 제어할 수 있는 중앙 콘솔을 제공한다.

2019년 4월부터 활동중인 REVil(일명 Sodinokibi)은 지난 달 미트(meat) 프로세서 JBS로부터 1,100만 달러를 갈취한 것으로 가장 잘 알려져 있으며, 2021년 1/4분기 공공 및 민간 부문에서 발생한 랜섬웨어 서비스화(Ransomware-as-a-Service) 사업의 약 4.6%를 차지하고 있다.

REVil은 이번 파일 암호화 랜섬웨어로 인해 장애를 일으킨 모든 시스템의 잠금을 해제할 수 있는 범용 암호 해독기에 대해 기록적인 7천만 달러의 몸값을 지불할 것을 요구하고 있다.

파이어아이의 도움을 받아 사건 조사에 참여한 Kaseya는 “유럽, 영국 및 아시아 태평양 데이터 센터를 시작으로 북미 데이터 센터를 하나씩 다시 온라인화할 계획"이라고 밝혔다.

Kaseya는 또한 사내 VSA 서버는 재시작 전에 패치를 설치해야 한다고 말하며, 7월 5일 출시를 위한 패치 작업이 진행 중이라고 덧붙였다.

◇CISA 권고문

미국 CISA(사이버보안 및 인프라 보안 에이전시)는 권고문을 발행하여 Kaseya가 제공하는 침해 감지도구를 다운로드하여 침해지표(IoC)를 식별하고 다단계 인증을 활성화하고, 원격 모니터링과의 통신을 제한하고 알려진 IP 주소 쌍에 대한 관리(RMM)를 하며, RMM의 관리 인터페이스를 VPN 또는 전용 관리 네트워크의 방화벽 뒤에 배치할 수 있도록 촉구했다.

시큐어웍스(Secureworks)의 최고 위협 인텔리전스 책임자인 Barry Hensley는 이메일을 통해 “[고객 기반 전체에서] 10개 미만의 조직이 영향을 받은 것으로 보이며 그 영향은 Kaseya 소프트웨어를 실행하는 시스템으로 제한되는 것으로 보인다. 우리는 위협 행위자가 횡적 이동(Lateral movement)을 하거나 손상된 네트워크를 통해 랜섬웨어를 전파하려고 한 증거를 보지 못했다. 이는 광범위한 Kaseya VSA 배포를 사용하는 조직이 하나 또는 두 개의 서버에서만 실행하는 조직보다 훨씬 더 많은 영향을 받을 가능성이 있음을 의미한다.”라고 설명한다.

아크로니스의 최고 정보 보안 책임자는 “MSP는 높은 가치를 지닌 표적이다. 공격 표면이 커서 사이버 범죄자의 표적이 되고 있다. 하나의 MSP는 수십에서 100여개의 회사 IT를 관리할 수 있다. 범죄자들은 100여개의 서로 다른 회사를 손상시키는 대신 하나의 MSP만 해킹하면 모든 회사에 액세스할 수 있다.”라고 이러한 공격의 위험성을 설명했다.

► DIVD보고서:

https://csirt.divd.nl/2021/07/04/Kaseya-Case-Update-2/

► CISA 권고문:

https://us-cert.cisa.gov/ncas/current-activity/2021/07/04/cisa-fbi-guidance-msps-and-their-customers-affected-kaseya-vsa

► Kaseya 제공 침해감지도구:

https://kaseya.app.box.com/s/0ysvgss7w48nxh8k1xt7fqhbcjxhas40

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
페소아 기자
페소아 기자 다른기사 보기
  • 서울특별시 송파구 송파대로 201 테라타워2, B동 9층 913-2호
  • 대표전화 : 02-400-2908
  • 팩스 : 02-400-2906
  • 청소년보호책임자 : 길민권
  • 법인명 :
  • 제호 : 데일리시큐
  • 등록번호 : 서울 아 02362
  • 등록일 : 2012년 11월 26일
  • 발행일 : 2013년 11월 26일
  • 발행·편집인 : 길민권
  • 사업자 번호 : 301-87-02348
  • 데일리시큐 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2024 데일리시큐. All rights reserved. mail to mkgil@dailysecu.com
ND소프트