REvil(Sodinokibi) 랜섬웨어, 패치되지 않은 Pulse Secure VPN 서버 공격해

VPN warning: REvil ransomware targets unpatched Pulse Secure VPN servers

REvil(Sodinokibi) 랜섬웨어 운영자들이 대규모 조직을 협박하기 위한 발판을 마련하고, 안티바이러스를 비활성화하기 위해 패치되지 않은 Pulse Secure VPN 서버를 공격하기 시작했습니다.

한 보안 연구원은 Pulse Secure VPN을 사용하는 조직들에 ‘Big Game’ 랜섬웨어 공격에 피해를 입고 싶지 않다면 당장 패치를 적용해야 한다고 경고했습니다. 

공격자들은 Shodan.io IoT 검색 엔진을 통해 취약한 VPN 서버를 쉽게 찾아낼 수 있는 것으로 나타났습니다.

영국의 보안 연구원인 Kevin Beaumont는 REvil 랜섬웨어를 ‘Big game’ 카테고리에 넣었습니다. 

범죄자들이 중요한 기업 시스템을 암호화해 막대한 돈을 요구하기 위해 이 랜섬웨어를 사용하기 때문입니다.

REvil의 공격 대상이 되는 Purse Secure VPN 서버는 미국의 CISA, NSA 및 영국의 NCC에서 지난 10월 경고한 패치를 적용하지 않은 것들입니다. 

위에 언급된 경고에서는 정부 지원을 받는 해커들이 Purse Secure 및 Fortinet VPN 제품의 결함을 악용하고 있다는 증거를 제시했습니다.

이제 범죄자들은 이 결함을 공격에 사용하기 시작했습니다.

Beaumont는 Pulse Secure VPN 버그가 “매우 위험하다”라고 언급했습니다.

이를 악용할 경우 원격 공격자가 유효한 크리덴셜 없이도 기업 네트워크 접근, 다중 인증 비활성화, 원격으로 로그 및 액티브 디렉터리 계정 비밀번호를 포함한 캐싱된 패스워드를 평문 상태로 읽을 수 있습니다.

지난주 발견된 두 사건은 네트워크에 접근 권한 획득, 도메인 관리 제어 권한 획득, 오픈소스 VNC 원격 접근 소프트웨어를 사용해 네트워크 이용 등 동일한 기본 전략을 사용하고 있었습니다.

이후 모든 엔드포인트 보안 툴을 비활성화하고 PsExec을 통해 시스템에 REvil(Sodinokibi) 랜섬웨어를 배포했습니다.

PsEsec은 사용자가 “원격 시스템에서 대화형 명령 프롬프트를 실행하고 원격 시스템에 관한 정보를 볼 수 없을 경우 IpConfig와 같은 원격 툴을 실행할 수 있는” 윈도우 원격 관리 유틸리티입니다.

보안 회사인 Bad Packet의 1월 4일 스캔 결과에 따르면, Pulse Secure VPN 서버 3,825대가 여전히 CVE-2019-11510 취약점을 패치하지 않은 것으로 나타났습니다. 

이 취약점은 지난 10월 발행된 경고에 포함된 취약점 중 하나입니다. 취약한 VPN 서버 중 약 1,300대 이상이 미국에 위치해 있었습니다.

 

<이미지 출처: https://twitter.com/bad_packets/status/1213273678525296640>

출처:

https://www.zdnet.com/article/vpn-warning-revil-ransomware-targets-unpatched-pulse-secure-vpn-servers/

https://doublepulsar.com/big-game-ransomware-being-delivered-to-organisations-via-pulse-secure-vpn-bd01b791aad9