• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

레빌 랜섬웨어의 카세야 사태, CISA와 FBI가 완화 권장 조치 발표 2021.07.06

레빌 랜섬웨어 운영자들의 코가 하늘을 찌른다. 주말 동안 역사상 최대 규모의 랜섬웨어 사건을 일으키고 역대 최고의 금액인 7천만 달러를 요구하고 나섰다. 대처 방법에 대한 논의가 이뤄지고 있지 않은 가운데 먼저 CISA와 FBI가 위험 완화 조치를 발표했다.

[보안뉴스 문가용 기자] 레빌(REvil) 갱단이 주말부터 지금까지 보안 업계의 스포트라이트를 독차지하고 있다. 카세야(Kaseya)라는 회사에서 만든 네트워크 모니터링 솔루션을 통해 전 세계 수천 개 조직들을 랜섬웨어로 감염시켰기 때문이다. 레빌은 자신의 공격이 강력하다는 걸 깨달았는지 처음보다 훨씬 높은 금액인 7천만 달러를 요구하고 있는 상황이다.

[이미지 = utoimage]


레빌 운영진들은 지난 일요일, 한 해킹 포럼에 카세야 사태에 대한 자신들의 입장을 밝히는 글을 남겼다. 자신들이 지난 금요일에 MSP 제공 업체들을 공격했으며, 이를 통해 전 세계 1백만 대가 넘는 시스템들을 감염시키는 데 성공했다는 내용으로 시작하는 이 글은 ‘유니버설 복호화 키’의 가격이 7천만 달러라고 언급되어 있으며, 돈만 낸다면 이 복호화 키를 공개해 누구라도 이번 공격으로부터 자유롭게 해방될 수 있다는 말을 담고 있다.

이 ‘카세야 사태’는 현재까지 기록된 랜섬웨어 사건 중 가장 큰 규모인 것으로 기록되고 있다. 지금까지 조사된 바로는 17개국에서 1천여 개가 넘는 조직들이 피해를 입은 상태다. 그 중 스위스의 슈퍼마킷 체인인 쿱(Coop)은 이틀 동안 800여 개 매장을 닫아야만 했다고 한다. 사건이 일파만파 퍼지자 미국의 정보보호 관련 기관인 CISA와 FBI는 이번 공격으로부터 피해를 입은 조직들에 도움을 제공하겠다고 발표했다.

FBI와 CISA는 “피해가 의심되는 상황에서 제일 먼저 해야 할 일은 카세야의 안내에 따라 VSA 서버를 즉각 인터넷과 네트워크로부터 분리하는 것”이라고 강조했다. 그리고 바로 다음 날 새로운 위험 완화 조치를 알리며, 피해를 당했다면 곧바로 FBI와 CISA에 알리라고 권장하기도 했다. 위험 완화 방법은 다음과 같다.

1) 카세야 VSA 탐지 도구를 이 주소(https://kaseya.app.box.com/s/0ysvgss7w48nxh8k1xt7fqhbcjxhas40)에서 다운로드 받는다. 그리고 이 안내 문건의 침해지표를 사용하여 감염이 의심되는지를 검사하라.

2) 조직이 관리하고 있는 모든 계정들에 다중인증을 적용하라. 가능하다면 고객들이 이용하는 서비스들과 엮인 계정들 역시 다중인증으로 보호하기 시작하라.

3) 원격 모니터링 및 관리(RMM) 기능을 제한하라. 전면 금지시키라는 것이 아니라 잘 알려지고 신뢰할 만한 IP 주소와만 RMM 작업이 가능해지도록 설정해야 한다.

4) RMM의 관리자 인터페이스를 VPN을 통해 실행시킴으로써 보호하라. 혹은 RMM 전문 방화벽을 두거나 관리자 전용 네트워크에만 위치시켜야 안전하다.

바이든 대통령은 지난 일요일 카세야 랜섬웨어 사태를 수사하라고 지시했다. 레빌은 러시아의 해커들로 알려져 있으며, 따라서 이번 공격은 러시아의 소행이라고 묘사되고 있다. 하지만 백악관은 “이 사건과 러시아 정부와의 직접적 연관성에 대해서는 아직 명확히 밝혀지지 않고 있다”고 덧붙였다.

보안 업체 카스퍼스키는 “공격자들이 카세야의 소프트웨어에 파워셸 스크립트를 심는 방식으로 악성 코드를 유포 및 실행시켰다”고 분석 결과를 발표했다. “이 파워셸 스크립트는 먼저 마이크로소프트 디펜더를 비활성화시킵니다. 그 후 certutil.exe라는 유틸리티 도구를 사용해 악성 실행파일인 agent.exe를 디코딩 합니다. agent.exe는 정상 마이크로소프트 바이너리인 MsMpEng.exe와 악성 라이브러리인 mpsvc.dll을 드롭시키죠. 이 악성 라이브러리가 바로 레빌 랜섬웨어입니다. 이 라이브러리는 MsMpEng.exe를 활용한 DLL 사이드 로딩 기법을 통해 로딩이 됩니다.”

한편 카스퍼스키는 자체 분석을 통해 “이번 카세야 사태에서 레빌 공격자들은 총 22개국에서 약 5000번의 공격을 시도했다”고 발표하기도 했다.

3줄 요약
1. 카세야 사태 일으킨 레빌 랜섬웨어 운영자들, 7천만 달러 요구.
2. 유니버설 복호화 키의 가격이 7천만 달러라는 소리.
3. 한편 CISA와 FBI는 위험을 완화시킬 수 있는 권고 사항 발표.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>