보안동향

최신 보안정보를 신속하게 전해드립니다.

[해외동향] Revil 랜섬웨어의 공급망공격에 사용된 Kaseya VSA

2021-07-05

☐ 이슈내용
지난 금요일, 미국은 독립기념일을 앞두고 Kaseya社의 원격 모니터링 및 관리 소프트웨어인 VSA를 사용하는 MSP(Multiple Managed Service Provider)에 대한 대규모 랜섬웨어 공급망 공격을 받았으며 공격자는 러시아 랜섬웨어 그룹인 ‘레빌(REvil)’로 알려져있다.

랜섬웨어 그룹은 MSP에 $5,000,000를 요구했고, MSP 고객에게는 네트워크에서 발견된 개별 암호화 파일 확장자 당 $40,000 ~ $45,000를 요구했다.

 

[그림 1] Kaseya 랜섬웨어 피해자에 대한 랜섬머니 요구 금액(출처: BleepingComputer)

 

랜섬웨어 그룹은 피해자에게 네트워크만 암호화했고 데이터 유출이나 다른 행위는 하지 않았다고 밝혔다.

[그림 2] REvil이 데이터 유출 등의 행위를 하지 않음 - 협상 대화 일부(출처: BleepingComputer)

 

Kaseya에 심어진 랜섬웨어는 클라우드 서비스 공급 회사들에 전달됐고, 최종적으로는 그 클라우드 서비스를 사용하는 일반 기업에 심어졌다. 이로인해 스웨덴의 슈퍼마켓 브랜드인 ‘쿱(Coop)’이 랜섬웨어 피해로 매장 800곳의 문을 닫았다.

공격은 주말과 미국의 독립기념일이 겹쳐 피해 규모를 산정하기 어렵지만, 고객사 200여 곳이 랜섬웨어 감염 피해를 받았으며, 1000여 곳 이상이 영향을 받을 수 있다고 미국 언론이 보도했다. 한국인터넷 진흥원(KISA)은 4일 오전 현재까지 국내 피해 사례는 신고되지 않았다고 밝혔다.

레빌 랜섬웨어 그룹 다크웹 사이트에는 “2021.07.02 MSP에 대한 공격을 했고 백만 개 이상의 시스템이 감염되었다”고 밝혔다. 그리고 7천만 달러(한화 약 790억)를 비트코인으로 지불 시 해당 랜섬웨어에 감염된 모든 파일을 해독할 수 있는 암호 해독기를 제공한다고 게시했다.

[그림 3] REvil Ransomware DarkWeb Site


Kaseya社 에서는 VSA 보안 사고에 대응하여 VSA서버 및 관련 엔드포인트 모두에 대한 자체 평가 스크립트를 배포했다. 스크립트는 [https://kaseya.app.box.com/s/0ysvgss7w48nxh8k1xt7fqhbcjxhas40] 에서 다운로드 할 수 있으며 해당 스크립트는 현재 알려진 손상 지표 또는 IoC를 기반으로 취약하거나 영향을 받는 온프레미스 시스템을 평가한다.

 


☐ 취약점
이번 공격에 사용된 제로데이 취약점(CVE-2021-30116)은 DVID(Dutch Institute for Vulnerability Disclosure)의 보안 연구원에 의해 공개되었지만 패치 배포 전에 공격자들에 의해 침해를 당했다. CVE-2021-30116 취약점에 대해선 현재까지 자세히 공개된 내용은 없다.

 

 

☐ 공격흐름
cmd를 통한 기본 설치 명령
powershell 명령을 통한 Windows Defender 중단 시도
이름 변경된 CERTUTIL.EXE가 AGENT.CRT를 AGENT.EXE로 디코딩
AGENT.EXE가 실행되고 MSMPENG.EXE 및 MPSVC.DLL을 C:\Windows에 드롭
MSMPENG.EXE가 실행되고 REvil DLL을 사이드로드
파일 암호화 진행
Netsh.exe가 네트워크 검색 설정

 

 

☐ 보안조치 및 권고사항
공격 이후 DIVD 연구원은 서버를 오프라인으로 전환시키기 위해 공개적으로 접근 가능한 VSA IP주소 및 고객 ID 리스트를 Kaseya에 제공했으며, 현재는 공개적으로 접근 가능한 서버 수를 2,200개에서 140개 미만으로 감소시켰다.
Kaseya社 는 현재 일부 패치를 공유했으며, 안정화된 패치 이전까지는 VSA 프로그램 사용을 중단할 것을 권고한다.
조직이 자체 내부 IT팀 또는 네트워크에 접근할 수 있는 서비스 제공 업체에 의해 Kaseya VSA가 사용자 환경에서 사용되는지 여부를 확인하고 사용하고 있다면 Kaseya VSA Detection Tool (https://kaseya.app.box.com/s/0ysvgss7w48nxh8k1xt7fqhbcjxhas40)을 이용하여 IoC 체크를 권장한다.

 

 

☐ IoCs


[그림 4] Kaseya Supply Chain Attack IoCs(출처: sophos.com)

 

 

☐ 참고자료
https://www.bleepingcomputer.com/news/security/kaseya-was-fixing-zero-day-just-as-revil-ransomware-sprung-their-attack/
https://www.bleepingcomputer.com/news/security/revil-is-increasing-ransoms-for-kaseya-ransomware-attack-victims/

https://www.mk.co.kr/news/world/view/2021/07/645184/

https://www.kaseya.com/potential-attack-on-kaseya-vsa/
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36122

https://news.sophos.com/en-us/2021/07/04/independence-day-revil-uses-supply-chain-exploit-to-attack-hundreds-of-businesses/amp/

 

 


보안관제센터 Team MIR

 

목록