상세 컨텐츠
본문
Kaseya: Roughly 1,500 businesses hit by REvil ransomware attack
Kaseya는 Sodinokibi 공급망 랜섬웨어 공격이 회사의 VSA 온-프레미스 제품을 사용하는 고객 약 60명의 시스템을 침해했다고 밝혔습니다.
또한 회사는 현재까지 Kaseya 원격 관리 툴을 사용하여 네트워크를 관리하는 다운 스트림 피해자가 최대 1,500명에 달한다고 밝혔습니다.
Kaseya는 보도자료를 통해 아래와 같이 밝혔습니다.
“이 공격은 제한적인 영향을 미쳤으며, Kaseya 고객 3만 5천곳 이상 중 약 50곳만 공격을 받았습니다. Kaseya의 고객은 로컬 및 중소기업 약 80만~100만 곳을 관리하고 있지만, 이 중 800~1,500곳 만이 침해되었습니다.”
이 회사는 보안 연구원과 고객의 조사를 돕기 위해 네트워크 및 엔드포인트 IoC를 제공할 뿐 아니라, 시스템이 침해되었는지 확인하는 툴을 업데이트했습니다.
또한 현재 복구 프로세스를 진행 중이며, VSA 고객들에 악용된 제로데이에 대한 패치를 배포할 예정이라 밝혔습니다.
모든 온-프레미스 VSA 서버는 Kaseya 측에서 안전히 복원할 수 있는 추가 지침을 공개하기 전까지 계속 오프라인 상태를 유지해야 합니다.
Kaseya가 패치를 검증하는 도중 제로데이 취약점 악용돼
Sodinokibi 랜섬웨어의 운영자는 Kaseya의 고객 및 그들의 클라이언트의 시스템에 랜섬웨어 페이로드를 배포하기 위해 Kaseya VSA의 제로데이 취약점인 CVE-2021-30116을 악용한 것으로 나타났습니다.
Kaseya는 당시 DIVD(Dutch Institute for Vulnerability Disclosure)에서 비공개로 제보한 이 제로데이 취약점을 패치하는 단계를 진행 중이었습니다.
하지만 Sodinokibi의 협력 파트너는 Kaseya가 VSA 고객에 해당 패치를 전달하기 전 제로데이 정보를 입수해 이를 악용하여 랜섬웨어를 배포했습니다.
Kaseya는 아래와 같이 설명했습니다.
"공격자들은 VSA 제품의 제로데이 취약점을 악용해 인증을 우회하고 임의 명령을 실행할 수 있었습니다. 이를 통해 표준 VSA 제품의 기능을 활용하여 랜섬웨어를 엔드포인트에 배포가 가능했습니다. Kaseya의 VSA 코드베이스가 악의적으로 수정되었다는 증거는 아직까지 없습니다."
현재 Sodinokibi는 시스템 백만 대 이상을 암호화했다고 주장하며, 범용 복호화 툴 가격으로 초기에는 7천만 달러를 요구하다 현재는 5천만 달러를 요구하고 있습니다.
출처:
'국내외 보안동향' 카테고리의 다른 글
| 가짜 안드로이드 크립토마이닝 앱, 수만 명 사용자에게 사기 행각 벌여 (0) | 2021.07.08 |
|---|---|
| SonicWall, NSM 기기의 치명적인 CVE-2021-20026 취약점 수정 (0) | 2021.07.07 |
| FBI, Kaseya 공격 사건과 관련한 피해 완화 조치 공개 (0) | 2021.07.06 |
| Sodinokibi 랜섬웨어, 랜섬머니로 7천만 달러 요구해 (0) | 2021.07.06 |
| 중국 데이터보안법 주요 내용 정리 (0) | 2021.07.05 |
댓글 영역