Kaseya VSA 랜섬웨어 공격
Kaseya VSA ransomware attack2021년 7월 2일, 다수의 관리 서비스 프로바이더(MSP)와 그 고객이 REVIL 그룹에 [1]의한 랜섬웨어 공격의 희생자가 되어, 1,000개 [2][3][4]이상의 기업에 광범위한 다운타임이 발생했습니다.
회사
Kaseya Limited는 2001년에 설립된 미국의 소프트웨어 회사이다.네트워크, 시스템 및 정보기술 인프라를 관리하기 위한 소프트웨어를 개발합니다.Insight Partners가 소유한 Kaseya는 플로리다주 마이애미에 본사를 두고 있으며 미국, 유럽 및 아시아 태평양 전역에 [5]지사를 두고 있습니다.2000년에 설립된 이래, 유니트렌즈를 포함한 13개의 회사를 인수해, 대부분이 독자적인 브랜드(「카세야 회사」의 태그 라인아래)로서 영업을 계속하고 있다.
스케줄과 영향
네덜란드 취약성 공개 연구소 연구진은 4월 1일 이 소프트웨어의 첫 번째 취약점을 확인했다.그들은 Kaseya에게 경고하고 보고된 7개의 취약성 중 4개를 해결하기 위해 회사 전문가들과 협력했습니다.그 노력에도 불구하고, 카세야는 모든 버그를 [6]제시간에 고칠 수 없었다.
발병 원인은 Kaseya가 개발한 원격 감시 및 관리 소프트웨어 패키지인 VSA(Virtual System Administrator)[1]로 몇 시간 내에 확인되었습니다.소프트웨어에는 인증 바이패스 취약성이 있으며 이를 통해 공격자가 VSA를 손상시키고 소프트웨어에 [7]의해 관리되는 호스트를 통해 악의적인 페이로드를 배포하여 [8]공격 범위를 확대할 수 있습니다.이에 대응하여 이 회사는 VSA 클라우드 및 SaaS 서버를 종료하고 VSA를 [9]사내에 배포하는 고객을 포함한 모든 고객에게 보안 권고 사항을 발행했습니다.
이 사고의 영향을 받은 기업의 최초 보고에는 스웨덴의 슈퍼마켓 체인점인 [10]Coop의 일부 시스템을 관리하는 노르웨이 금융 소프트웨어 개발업체 Visma가 포함되어 있습니다.이 슈퍼마켓 체인은 거의 일주일 동안 800개의 가게를 닫아야 했고, 일부는 다른 식품 가게가 없는 작은 마을에 있었다.그들은 몸값을 지불하지 않고 카세야의 [11]업데이트를 기다린 후 시스템을 처음부터 다시 구축했다.
리빌 랜섬웨어 갱단은 공식적으로 이번 공격에 대한 공로를 인정받아 사건 당시 100만 개 이상의 시스템을 암호화했다고 주장했다.그들은 처음에 영향을 받는 [12]모든 시스템의 잠금을 해제하기 위해 범용 해독기를 해제하기 위해 7천만 달러의 몸값을 요구했다.7월 5일, Kaseya는 800~1500개의 하류 기업이 이번 [13]공격으로 피해를 입었다고 말했다.
마커스 허친스는 정확한 [14]영향 측정이 어렵다는 점을 들어 카세야 공격의 영향이 워너크라이보다 컸다는 평가를 비판했다.
바이든은 2021년 7월 9일 조 바이든 미국 대통령과 블라디미르 푸틴 러시아 대통령 간 전화통화 후 "나는 그에게 미국은 비록 국가의 후원이 아니지만 그의 땅에서 랜섬웨어 작전이 올 때 우리가 그들에게 충분한 정보를 제공할 수 있을 것으로 예상한다는 것을 분명히 했다"고 말했다.그게 누구냐에 따라 행동하라.바이든은 나중에 푸틴이 그렇게 [15][16]하지 않을 경우 미국은 그 그룹의 서버를 철거할 것이라고 덧붙였다.
2021년 7월 13일,[17] 리빌 웹사이트와 기타 인프라가 인터넷에서 사라졌다.
2021년 7월 23일, Kaseya는 익명의 "신뢰할 수 있는 서드파티"로부터 REVIL 암호화 파일용 범용 복호화 도구를 입수하여 피해자들의 [18]파일 복원을 돕고 있다고 발표했습니다.
2021년 11월 8일 미국 법무부는 우크라이나인 야로슬라브 바신스키와 러시아인 예브게니 폴리아닌에 대한 기소를 해제했다.바신스키 씨는 카세야를 포함한 여러 피해자에게 랜섬웨어 공격을 한 혐의로 기소돼 10월 8일 폴란드에서 체포됐다.폴리아닌은 텍사스 기업과 정부 기관을 포함한 여러 피해자들에게 랜섬웨어 공격을 한 혐의로 기소되었다.미 국방부는 우크라이나 경찰과 공조해 랜섬웨어 지급과 관련된 610만달러의 압류도 발표했다.모든 혐의로 유죄가 확정되면 바신스키 씨는 최고 115년, 폴리아닌 씨는 [19]최고 145년 징역형에 처해진다.
레퍼런스
- ^ a b "Une cyberattaque contre une société américaine menace une multitude d'entreprises". Le Monde (in French). 3 July 2021. Archived from the original on 11 November 2021.
- ^ Osborne, Charlie (2021-07-23). "The Kaseya ransomware attack: Everything we know so far". ZDNet. Archived from the original on 2021-08-16. Retrieved 2021-11-12.
- ^ Lily Hay Newman (2021-07-04). "How REvil Ransomware Took Out Thousands of Business at Once". Wired. Archived from the original on 2021-11-10. Retrieved 2021-11-12.
- ^ McMillan, Robert (2021-07-04). "Ransomware Attack Affecting Likely Thousands of Targets Drags On". Wall Street Journal. ISSN 0099-9660. Archived from the original on 2021-09-28. Retrieved 2021-07-07.
- ^ Wile, Rob; Wilner, Michael (July 6, 2021). "One of Miami's oldest tech firms is at the center of a global ransomware computer hack". Miami Herald. Archived from the original on October 6, 2021. Retrieved July 11, 2021.
- ^ "The Unfixed Flaw at the Heart of REvil's Ransomware Spree". Wired. July 8, 2021. Retrieved April 7, 2022.
- ^ Hammond, John. "Rapid Response: Mass MSP Ransomware Incident". Huntress. Archived from the original on 2021-10-26. Retrieved 2021-07-24.
- ^ Gerrit De Vynck; Aaron Gregg; Rachel Lerman (July 6, 2021). "Ransomware attack struck between 800 and 1,500 businesses, says company at center of hack—Kaseya's software touches hundreds of thousands of firms, but company says vast majority were unaffected". The Washington Post. Retrieved July 6, 2021.
- ^ Giles, Martin (3 July 2021). "A New Wave Of Ransomware Has Been Sparked By A Cyberattack On Tech Provider Kaseya". Forbes. Archived from the original on 23 September 2021.
- ^ Tidy, Joe (3 July 2021). "Swedish Coop supermarkets shut due to US ransomware cyber-attack". BBC News. Archived from the original on 5 October 2021.
- ^ Greig, Jonathan (July 26, 2021). "Kaseya denies paying ransom for decryptor, refuses comment on NDA". ZDNet. Archived from the original on October 3, 2021. Retrieved November 12, 2021.
- ^ Tung, Liam (5 July 2021). "Kaseya ransomware attack: US launches investigation as gang demands giant $70 million payment". ZDNet. Archived from the original on 9 October 2021.
- ^ Satter, Raphael (5 July 2021). "Up to 1,500 businesses affected by ransomware attack, U.S. firm's CEO says". Reuters. Archived from the original on 11 November 2021.
- ^ Hutchins, Marcus. "Twitter". Twitter. Retrieved 2021-07-13.
The reason some people think REvil was bigger than WannaCry is because WannaCry was so big that nobody was ever able to quantify it. The best metrics we have is unique IP addresses, but companies have 10s, 100s, or 1000s of machines behind a single IP due to NAT.
{{cite web}}: CS1 maint :url-status (링크) - ^ "Biden tells Putin Russia must crack down on cybercriminals". AP NEWS. July 9, 2021.
- ^ Sanger, David E. (July 13, 2021). "Russia's most aggressive ransomware group disappeared. It's unclear who disabled them". The New York Times.
- ^ Business, Brian Fung, Zachary Cohen and Geneva Sands, CNN (July 13, 2021). "Ransomware gang that hit meat supplier mysteriously vanishes from the internet". CNN.
- ^ "Ransomware key to unlock customer data from REvil attack". BBC News. BBC. July 23, 2021. Retrieved July 23, 2021.
- ^ "Ukrainian Arrested and Charged with Ransomware Attack on Kaseya". United States Department of Justice. November 8, 2021. Archived from the original on November 11, 2021. Retrieved November 12, 2021.