개요

이 문서에서는 Kaseya VSA 공급망 랜섬웨어 공격에 관한 정보와 고객을 보호하기 위해 Cato가 취한 조치를 논의합니다．

2021년 7월 7일 부로 Kaseya VSA 랜섬웨어 공격과 관련된 모든 알려진 IOC가 Cato 위협 인텔리전스 플랫폼에 구현되었습니다． 이 프로필(또는 유사한 프로필)과 일치하는 모든 트래픽은 당사의 IPS에 의해 적극적으로 차단됩니다．

배경

2021년 7월 3일 부로 여러 조직과 서비스 제공업체(MSP)가 REvil(일명 Sodinokibi) 랜섬웨어의 표적이 되었습니다． 이 공격은 Kaseya VSA 소프트웨어를 대상으로 한 공급망 공격에서 수행되었습니다． 이 공격으로 인해 Kaseya는 사용자들로 하여금 VSA 서버를 종료하여 손상되지 않도록 하라고 촉구했습니다．

REvil(위협 방지 시스템에 의해서 자주 Ransom.Sodinokibi 로 탐지됨)은 표적 공격에 사용되는 랜섬웨어 계열입니다． 공격자는 피해자의 네트워크에 있는 모든 컴퓨터를 암호화하려고 시도하며, 대량의 금액이 지불되지 않는 한 파일이나 데이터에 접근할 수 없습니다．

영향력

목표 컴퓨터가 Sodinokibi 랜섬웨어에 감염되면, 관리 접근이 비활성화되고 악성 코드가 데이터를 암호화하기 시작합니다． 이것은 "랜섬"을 요구하기 전의 초기 단계입니다．

암호화가 완료된 후 시스템의 데스크탑 배경화면은 "모든 파일이 암호화되었습니다．"라는 메시지와 함께 머신에 접근하는 방법을 설명한 readme 파일의 링크로 설정됩니다．  감염된 각 머신은 해당 호스트에 고유한 개인 키로 암호화되며, 이는 랜섬웨어 복호화 과정에 사용됩니다． 이 전술은 전통적인 방법으로 데이터를 검색하는 경우 개인 키 손상 요소와 영구 데이터 손실을 초래하게 합니다．

장치가 이 랜섬웨어에 감염되었을 경우, 데이터를 접근하거나 추출할 수 없습니다． (단, 랜섬이 지불된 경우 제외)．

Cato는 무엇을 하고 있습니까？

Cato Networks의 보안 분석가는 고객이 이 위협에 유출될 수 있는 잠재적 취약성을 식별하고, 정밀하게 조사하며 완화하기 위해 끊임없이 노력하고 있습니다． 

• Cato 고객 트래픽 프로필에 대한 포렌식 분석 후, 현재 Kaseya 제품을 사용하는 여러 고객을 식별했습니다． 
• 당사의 초기 분석에 따르면 고객 기반에서의 감염 증거는 보이지 않습니다． 이것은 공격과 관련하여 공개된 손상 지표(IOC)를 기반으로 합니다．
• Cato Networks는 이번 공격과 관련된 모든 IOC를 우리의 위협 인텔리전스 플랫폼에 추가했습니다． 이것은 이러한 유형의 모든 트래픽이 당사의 IPS에 의해 차단될 것을 보장합니다． 
• Kaseya 제품을 사용하는 모든 고객에 대해 Kaseya의 지속적인 조언을 따를 것을 권장합니다．

이 상황은 현재 IT 환경 내에서 진화 중이며, Cato Networks는 고객이 보호받을 수 있도록 상황을 적극적으로 모니터링하고 조사하고 있습니다．