상세 컨텐츠

본문 제목

Kaseya, 약 1,500개 기업이 Sodinokibi 랜섬웨어 공격 받았다고 밝혀

국내외 보안동향

by 알약4 2021. 7. 7. 09:00

본문

 

 

Kaseya: Roughly 1,500 businesses hit by REvil ransomware attack

 

Kaseya는 Sodinokibi 공급망 랜섬웨어 공격이 회사의 VSA -프레미스 제품을 사용하는 고객 약 60명의 시스템을 침해했다고 밝혔습니다.

 

또한 회사는 현재까지 Kaseya 원격 관리 툴을 사용하여 네트워크를 관리하는 다운 스트림 피해자가 최대 1,500명에 달한다고 밝혔습니다.

 

Kaseya는 보도자료를 통해 아래와 같이 밝혔습니다.

 

이 공격은 제한적인 영향을 미쳤으며, Kaseya 고객 35천곳 이상 중 약 50곳만 공격을 받았습니다. Kaseya의 고객은 로컬 및 중소기업 약 80~100만 곳을 관리하고 있지만, 이 중 800~1,500곳 만이 침해되었습니다.”

 

이 회사는 보안 연구원과 고객의 조사를 돕기 위해 네트워크 및 엔드포인트 IoC를 제공할 뿐 아니라, 는지 을 업데이트했습니다.

 

또한 현재 복구 프로세스를 진행 중이며, VSA 고객들에 악용된 제로데이에 대한 패치를 배포할 예정이라 밝혔습니다.

 

모든 온-프레미스 VSA 서버는 Kaseya 측에서 안전히 복원할 수 있는 추가 지침을 공개하기 전까지 계속 오프라인 상태를 유지해야 합니다.

 

 

Kaseya가 패치를 검증하는 도중 제로데이 취약점 악용돼

 

Sodinokibi 랜섬웨어의 운영자는 Kaseya의 고객 및 그들의 클라이언트의 시스템에 랜섬웨어 페이로드를 배포하기 위해 Kaseya VSA의 제로데이 취약점인 CVE-2021-30116을 악용한 것으로 나타났습니다.

 

Kaseya는 당시 DIVD(Dutch Institute for Vulnerability Disclosure)에서 비공개로 제보한 이 제로데이 취약점을 패치하는 단계를 진행 중이었습니다.

 

하지만 Sodinokibi의 협력 파트너는 KaseyaVSA 고객에 해당 패치를 전달하기 전 제로데이 정보를 입수해 이를 악용하여 랜섬웨어를 배포했습니다.

 

Kaseya는 아래와 같이 설명했습니다.

 

"공격자들은 VSA 제품의 제로데이 취약점을 악용해 인증을 우회하고 임의 명령을 실행할 수 있었습니다. 이를 통해 표준 VSA 제품의 기능을 활용하여 랜섬웨어를 엔드포인트에 배포가 가능했습니다. Kaseya의 VSA 코드베이스가 악의적으로 수정되었다는 증거는 아직까지 없습니다."

 

현재 Sodinokibi는 시스템 백만 대 이상을 암호화했다고 주장하며, 범용 복호화 툴 가격으로 초기에는 7천만 달러를 요구하다 현재는 5천만 달러를 요구하고 있습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/kaseya-roughly-1-500-businesses-hit-by-revil-ransomware-attack/

https://www.globenewswire.com/news-release/2021/07/06/2257884/0/en/Kaseya-Responds-Swiftly-to-Sophisticated-Cyberattack-Mitigating-Global-Disruption-to-Customers.html

https://www.kaseya.com/potential-attack-on-kaseya-vsa/

관련글 더보기

댓글 영역