Hellokitty 랜섬웨어, 취약한 SonicWall 기기 노려

 

 

HelloKitty ransomware gang targets vulnerable SonicWall devices

 

이번 주, SonicWall이 단종된 일부 기기를 노리는 랜섬웨어 캠페인에 대해 경고하는 긴급 보안 경고문을 발표했습니다.

 

공격자는 SMA(Secure Mobile Access) 100 시리즈 및 SRA(Secure Remote Access) 제품군 내 패치되지 않은 기기를 공격할 수 있습니다.

 

“SonicWall은 신뢰할 수 있는 타사와의 협업을 통해, 현재 공격자가 훔친 자격 증명을 이용하는 랜섬웨어 캠페인에서 단종 상태이며 패치되지 않은 8.x 펌웨어를 사용하는 SMA(Secure Mobile Access) 100 시리즈 및 SRA(Secure Remote Access) 제품을 적극적으로 공격하고 있다는 사실을 발견했습니다. 이 공격은 최신 버전의 펌웨어에서 패치된 이미 알려진 취약점을 사용합니다.”

 

회사는 SRA 및 SMA 100 시리즈 제품 내 펌웨어의 알려진 취약점을 패치하지 못하는 조직이 타깃형 랜섬웨어 공격의 표적이 될 위험에 처해 있다고 밝혔습니다.

 

회사는 이제 고객에게 가능한 한 빨리 펌웨어 업데이트를 진행할 것을 촉구하고 있습니다.

 

CISA 또한 SonicWall SMA(Secure Mobile Access) 100 시리즈 및 SRA(Secure Remote Access) 제품 내 알려진 취약점을 악용하려 시도하는 랜섬웨어 공격에 대해 경고했습니다.

 

 

<이미지 출처 : https://twitter.com/USCERT_gov/status/1415764861217353731>

 

 

SonicWall과 CISA 모두 이 공격의 배후에 있는 공격자에 대한 자세한 정보를 제공하지는 않았지만 Bleeping Computer는 HelloKitty 랜섬웨어 갱단이 최근 공격에서 이 문제를 악용하고 있다는 사실을 발견했습니다.

 

또한 이들은 CrowdStrike에서 HelloKitty 랜섬웨어 운영자를 포함한 세 공격 그룹이 CVE-2019-7481 취약점을 악용하려 시도하고 있다고 밝혔습니다.

 

 

 

출처:

https://securityaffairs.co/wordpress/120249/malware/hellokitty-ransomware-sonicwall-devices.html

https://www.sonicwall.com/support/product-notification/urgent-security-notice-critical-risk-to-unpatched-end-of-life-sra-sma-8-x-remote-access-devices/210713105333210/

https://us-cert.cisa.gov/ncas/current-activity/2021/07/15/ransomware-risk-unpatched-eol-sonicwall-sra-and-sma-8x-products