카세야 공격한 REvil 랜섬웨어의 암호 해독키…해킹 포럼서 공개돼

2021-08-12     길민권 기자

지난 7월 2일, REvil 랜섬웨어 조직이 카세야(Kaseya) VSA 원격 관리 애플리케이션의 제로데이 취약점을 악용해 전 세계적으로 관리 서비스 제공업체에 대한 대규모 공급망 공격이 발생했다. 솔라윈즈 사태와 함께 대표적인 공급망 공격 사례라고 할 수 있다.

이 공격은 약 60개 관리 서비스 제공업체와 약 1천500개 기업을 암호화해 역사상 가장 큰 랜섬웨어 공격이 될 수 있는 사건이었다.

공격조직은 카세야 랜섬웨어 피해를 막기 위한 범용 암호 해독키를 받으려면 7천만 달러를 지불하라고 협박했다.

하지만 얼마 지나지 않아, REvil 랜섬웨어 조직은 갑자기 사라졌고 이들의 토르 사이트와 인프라도 사라졌다. 한편 이들이 사라지면서 해독기를 구해야 하는 회사들도 난감해 졌다. 해독기를 구할 수 없게 된 것이다.

이후 7월 22일, 카세야 측은 ‘신뢰할 수 있는 제3자’로부터 랜섬웨어 공격에 대한 범용 암호 해독키를 받아 피해를 입은 고객에게 배포하기 시작했다. 하지만 카세야 측은 누구에게 받았는지 비밀유지 계약을 했다며 이를 공개하지 않았다. 혹자는 러시아 정부가 미국에 전달했을 수 있다고 말한다.

한편 브리핑컴퓨터 보도에 따르면, 최근 해외 보안전문가가 깃허브에 올라온 REvil 조직의 범용 암호 해독 키 스크린샷을 볼 수 있었다고 전했다.

이 게시물에는 base64 해시 'master_sk' 키를 표시하면서 실행 중인 REvil 암호 해독기를 보여 주는 GitHub의 스크린샷에 링크되었다. 카세야 공격에 특화된 범용 암호 해독키다. 해독키는 아래와 같다.

'OgTD7co7NcYCoNj8NoYdPoR8nVFJBO5vs/kVkhelp2s='

★정보보안 대표 미디어 데일리시큐!★