Sodinokibi 랜섬웨어, 랜섬머니로 7천만 달러 요구해

 

 

REvil ransomware asks $70 million to decrypt all Kaseya attack victims

 

Sodinokibi 랜섬웨어가 Kaseya 공급망 공격 중 암호화된 모든 시스템을 복호화하기 위한 가격을 책정했습니다. 이들은 모든 기업이 파일을 복호화할 수 있는 툴의 가격으로 7천만 달러 상당의 비트코인을 요구했습니다.

 

지난 금요일 발생한 이 공격은 관리 서비스 제공업체(MSP)에서 고객 시스템을 모니터링하고 패치 관리를 위해 사용되는 Kaseya VSA 클라우스 기반 솔루션을 통해 확산되었습니다.

 

많은 MSP 업체의 고객이 이 공격에 영향을 받았으며, Sodinokibi 랜섬웨어는 전 세계에 걸쳐 최소 1,000개 기업의 네트워크를 암호화했습니다.

 

공격자는 유출 사이트를 통해 시스템 백만 개 이상을 암호화했으며, 범용 복호화 툴을 제공할 생각이 있으며 가격은 7천만 달러부터 시작할 것이라 밝혔습니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/revil-ransomware-asks-70-million-to-decrypt-all-kaseya-attack-victims/>

 

 

이는 역사상 가장 높은 랜섬웨어 금액입니다. 이전 기록 또한 Sodinokibi이 대만의 전자기기 및 컴퓨터 제조 업체인 Acer를 공격한 후 요구한 금액인 5천만 달러입니다.

 

당시 Sodinokibi 랜섬웨어는 MSP에 복호화 툴 비용으로 5백만 달러를 요구했으며, 고객들에게는 44,999달러를 요구했습니다.

 

하지만 해당 범죄자들은 파일을 암호화 시 여러 확장명을 사용했으며, 44,999달러는 한 확장명으로 암호화된 파일을 복호화하기 위한 비용이었습니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/revil-ransomware-asks-70-million-to-decrypt-all-kaseya-attack-victims/>

<Sodinokibi 랜섬머니 협상>

 

 

Sodinokibi는 비공개로 보고되어 수정 중이던 Kaseya VSA 서버의 제로데이 취약점을 이용해 이 대규모 공격을 실행할 수 있었던 것으로 나타났습니다.

 

DIVD(Dutch Institute for Vulnerability Disclosure)의 연구원들이 이 취약점을 발견해 제보했으며, Kaseya는 현재 이를 수정하는 패치를 고객에 배포하기 전 검증을 진행하는 중이라 밝혔습니다.

 

하지만 Sodinokibi의 파트너들 또한 이 취약점을 알고 있었으며, Kaseya에서 고객에 패치를 푸시하기 전 이를 악용한 것으로 보입니다.

 

Sodinokibi 랜섬웨어 공격의 전체 범위는 아직까지는 명확하지 않지만, 법 집행 기관은 이 사고에 강력히 대응하고 있습니다. FBI는 CISA와 함께 협력하여 이 사고를 조사 중이라 밝혔습니다.

 

바이든 미국 대통령 또한 Kaseya 공급망 공격에 대응하여 정보 기관에 이 사고에 대해 조사할 것을 지시한 것으로 나타났습니다.

 

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/revil-ransomware-asks-70-million-to-decrypt-all-kaseya-attack-victims/