Kaseya Supply-Chain Attack Hits Nearly 40 Service Providers With REvil Ransomware
악명 높은 Sodinokibi 랜섬웨어 그룹 공격자들이 Kaseya IT 관리 소프트웨어 업데이트를 통해 랜섬웨어를 유포한 것으로 나타났습니다. 이들은 광범위한 랜섬웨어 공격을 통해 전 세계의 고객 약 40곳을 공격했습니다.
지난 금요일 회사의 CEO인 Fred Voccola는 성명문을 통해 아래와 같이 밝혔습니다.
"Kaseya의 사고대응팀은 2021년 7월 2일 금요일 정오(EST)에 VSA 소프트웨어와 관련된 잠재적 보안 사고에 대해 알게 되었습니다."
사고 이후, 해당 회사는 사전 예방 조치로 SaaS 서버를 종료시켰으며, 온-프레미스 고객에게 VSA 서버가 해킹되지 않도록 이를 종료하도록 알렸습니다.
Voccola는 회사가 취약점의 출처를 확인했으며, 현재 이를 완화하기 위한 패치를 준비 중이라 밝혔습니다. 또한 안전해지기 전까지 모든 온-프레미스 VSA 서버, SaaS, 호스팅되는 VSA 서버를 중단할 계획이라고도 밝혔습니다.
Sophos의 악성코드 분석가인 Mark Loman에 따르면, 업계 전반에 걸쳐진 이 공급망 공격은 Kaseya VSA를 활용하여 피해자의 환경에 Sodinokibi 랜섬웨어 변종을 배포하고, Sodinokibi 바이너리는 가짜 윈도우 디펜더 앱을 통해 사이드로드된 것으로 나타났습니다.
또한 공격 체인은 PowerShell을 통해 마이크로소프트 디펜더의 실시간 모니터링을 비활성화하려 시도한다고 밝혔습니다. Huntress Labs는 레딧 게시물을 통해 트로이목마가 포함된 이 소프트웨어가 "Kaseya VSA 에이전트 핫픽스”의 형태로 배포되고 있다고 밝혔습니다.
연구원들은 이 공격에 피해를 입은 기업 중 다른 회사에 IT 서비스를 제공하는 ‘관리 서비스 제공 업체(MSP)’ 8곳을 발견했다고 밝혔습니다. Huntress Labs은 해당 MSP 업체에서 관리 중인 기업 200곳의 네트워크가 감염되었다고 밝혔습니다.
MSP 침투에 성공하면 여러 고객에 접근할 수 있게 되기 때문에, 이는 랜섬웨어의 수익성 있는 타깃으로 급부상했습니다.
지난 토요일, Kaseya는 “정교한 사이버 공격에 피해를 입었다”고 밝히며 고객들에게 랜섬웨어 운영자가 전송하는 어떠한 링크도 클릭하지 말 것을 당부했습니다.
연구원들은 Sodinokibi 랜섬웨어가 Kaseya VSA 소프트웨어의 제로데이 취약점을 악용한 것으로 추측했습니다. Kaseya는 공격 벡터를 격리 및 제거했으며, 해당 취약점을 수정하기 위한 소프트웨어 패치를 준비하고 있다고 밝혔습니다.
현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플에 대해 'Trojan.Ransom.Sodinokibi’로 탐지 중입니다.
출처:
https://thehackernews.com/2021/07/kaseya-revil-ransomware-attack.html
https://old.reddit.com/r/msp/comments/ocggbv/crticial_ransomware_incident_in_progress/h3u5j2e/
중국 데이터보안법 주요 내용 정리 (0) | 2021.07.05 |
---|---|
580만 회 설치된 안드로이드 앱, 사용자의 비밀번호 훔쳐 (0) | 2021.07.05 |
법 집행부, 러시아 기반 DoubleVPN 서버 압수해 (0) | 2021.07.02 |
미국 사업주 88,000명의 LinkedIn 데이터, 온라인에 공개돼 (0) | 2021.07.02 |
SolarWinds 해커들, 덴마크 중앙 은행에 수 개월 동안 은신해 있어 (0) | 2021.07.01 |
댓글 영역