REvil (Sodikinibi) 사이버 갱이 주도하는 랜섬웨어 공격으로 전 세계 1,500 개 기업에 영향

악명 높은 REvil / Sodinikibi 사이버 갱단이 수행 한 주요 랜섬웨어 공격은 미국에서 최대 200 개 기업과 전 세계적으로 1500 개에 가까운 기업을 공격했을 수 있습니다. 러시아에 묶인 사기꾼은 특정 네트워크 관리 소프트웨어 패키지를 손상시켜 위협을 확산 시켰으며, 이로 인해 수많은 클라우드 서비스 제공 업체에 접근 할 수있었습니다.

문제의 결함이있는 소프트웨어는 가상 시스템 관리자 (VSA)라고합니다. 이는 전 세계 중소기업에 효율적이고 비용 효율적인 소프트웨어 솔루션을 제공하기 위해 노력하는 민간 기업인 Kaseya가 개발하고 판매하는 원격 모니터링 및 관리 시스템입니다. . 악성 코드는 Kaseya의 VAS 온 프레미스 패키지로 관리되는 엔드 포인트에서 랜섬웨어를 실행하기 시작했습니다. 결과적으로 전술의 실제 규모는 보안 연구원이 기대했던 것보다 훨씬 더 중요 할 수 있습니다.

더 큰 영향을 미치기 위해 인기있는 소프트웨어 악용

이러한 수준의 랜섬웨어 공격 은 일반적으로 널리 사용되는 잘 알려진 소프트웨어 프로그램에서 보안 결함을 찾은 다음 이러한 결함을 악용하여 맬웨어를 공급망 아래에 심습니다. 그러나 이것은 우리가 관찰 한 최초의 대규모 공급망 랜섬웨어 공격입니다. Kaseya의 VSA 패키지를 사용하는 많은 기업을 감안할 때 지금까지 고객 중 몇 퍼센트가 공격의 희생양이되었는지는 확실하지 않습니다. Kaseya의 경영진은 멀웨어 확산을 막기 위해 모든 온 프레미스 VSA 서버를 종료 할 것을 고객에게 촉구 하는 공식 통지를 방금 발표했습니다. 이 회사는 60 명 미만의 영향을받은 고객을 발견했지만 후자는 다른 많은 회사와 비즈니스 관계를 맺고있어 영향을받는 회사의 총 수는 대략 1500 명 정도입니다.

7 월 4 일 전야 – 우연인가 아니면 계산 된 움직임인가?

보안 연구원들은 공격시기 (7 월 2 일 금요일)가 IT를 포함한 대부분의 비즈니스 부서가 일반적으로 공휴일 전후에 인력을 줄 였기 때문에 의도적으로 발생한 것이라고 생각합니다. 이 공격을 발견 한 Huntress Labs의 John Hammond는 적어도 4 개의 감염된 관리 서비스 제공 업체를보고했으며, 이들 각각은 다른 많은 기업에 IT 인프라 호스팅 서비스를 제공합니다. 공격의 공급망 특성은 궁극적 인 희생자가 공급 업체의 보안에 전적으로 의존하는 중소 기업이기 때문에 엄청난 피해 가능성이 있습니다. 후자가 침해를 당하면 체인 아래에있는 비즈니스 고객에게 산불처럼 퍼집니다.

패치 및 예방 조치 (7 월 6 일 오후 12시 EDT 기준)

Kaseya의 관계자는 영향을받는 고객에게 추가 통지가있을 때까지 온 프레미스 VSA 서버를 종료하고 랜섬웨어 관련 URL을 클릭하지 않도록 권고했으며 서버를 다시 온라인 상태로 만들기 전에 보안 패치를 개발할 것을 약속했습니다. 이 회사는 VSA SaaS 인프라도 오프라인으로 전환했습니다. Kaseya의 보안 전문가는 EDT 오후 7 시까 지 SaaS 서비스를 복원하기를 희망하지만 향후 감염 위험을 최소화하기 위해 일련의 향상된 보안 조치를 구현할 계획입니다. 이러한 조치는 설정부터 다양합니다.

• 모든 VSA 서버를 모니터링하는 독립적 인 SOC (Security Operations Center)
• 모든 VSA 서버에 해당하는 WAF (Web Application Firewall)가있는 추가 CDN (Content Delivery Network)
• 잠재적 인 침해에 대해 온-프레미스 VSA 서버를 테스트하려는 고객을위한 침해 감지 도구
• 온-프레미스 VSA 고객을위한 패치 (이미 개발되었으며 현재 테스트 및 검증 중).

모든 것이 계획대로 진행되면 Kaseya의 VSA 고객은 다음 몇 시간 내에 서버를 가동하고 실행할 수 있습니다.