Maze 랜섬웨어란?

Maze 랜섬웨어는 기밀 데이터를 암호화하고 탈취하므로 피해자가 랜섬을 지급해야 한다는 압박감이 더욱 가중됩니다.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • Maze 랜섬웨어의 작동 방식 정의
  • Maze가 데이터를 암호화하고 유출하는 방법 설명
  • Maze 랜섬웨어 공격 방지 방법 알아보기

관련 콘텐츠


계속 알아보시겠어요?

인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!

Cloudflare가 개인 데이터를 수집하고 처리하는 방법은 Cloudflare의 개인정보 취급방침을 참조하세요.

글 링크 복사

Maze 랜섬웨어란?

Maze는 2019년부터 조직에 영향을 미치고 있는 랜섬웨어*의 변종입니다. 주요 그룹 하나가 Maze를 만들었지만, 여러 공격자가 갈취 목적으로 Maze를 사용했습니다.

Maze 운영자는 대부분 데이터를 암호화하는 것 외에도 암호화한 데이터를 복사하여 랜섬을 지급하지 않으면 데이터를 유출하겠다고 협박합니다. Maze 랜섬웨어 감염은 랜섬웨어의 부정적인 영향(데이터 손실, 생산성 저하)과 데이터 유출(데이터 누출, 개인 정보 보호 위반)이 결합되어 있어 기업에서 특히 우려해야 하는 대상입니다.

*랜섬웨어는 파일과 데이터를 암호화하여 잠그는 맬웨어입니다. 피해자는 공격자에게 랜섬을 지급해야만 파일과 데이터를 되찾을 수 있다는 메시지를 받게 됩니다.

Maze 랜섬웨어 공격은 어떻게 진행될까요?

Maze 랜섬웨어가 처음 사용되기 시작했을 때는 대부분 악의적 이메일 첨부 파일을 통해 유포되었습니다.최근의 공격은 랜섬웨어 페이로드를 침투시키기 전에 다른 방법을 사용하여 네트워크를 손상시킵니다.예를 들어, 많은 Maze 랜섬웨어 공격은 훔치거나 추측한 원격 데스크톱 프로토콜(RDP) 자격 증명(사용자 이름 및 비밀번호 조합)을 사용하여 네트워크에 침투합니다.기타 공격은 취약한 가상 사설망(VPN) 서버를 손상시키는 것으로 시작되었습니다.

Maze는 네트워크에 침투하면 다음 단계를 수행합니다.

  1. 정찰: Maze는 네트워크의 취약성을 살펴보고 연결된 컴퓨터를 최대한 많이 식별하여 최종 랜섬웨어 활성화에 최대한의 영향을 미치도록 지원합니다.무엇보다도 Maze는 네트워크의 모든 인증된 사용자와 컴퓨터를 나열하는 Windows 프로그램인 Active Directory를 스캔합니다.정찰 프로세스는 일반적으로 공격자가 표적 네트워크에 침투한 후 며칠이 지나면 완료됩니다.
  2. 내부망 이동: Maze는 정찰 중에 얻은 정보를 사용하여 네트워크 전체에 자신을 확산시켜 가능한 한 많은 장치를 감염시킵니다.
  3. 권한 상승: Maze는 내부망에서 이동하면서 더 많은 자격 증명을 훔쳐내어 다른 컴퓨터로 확산할 수 있습니다.결국에는 일반적으로 관리자 자격 증명을 획득하여 전체 네트워크를 제어할 수 있습니다.
  4. 지속성: Maze는 여러 가지 기법을 사용하여 제거 시도에 저항합니다.예를 들어, Maze는 백도어(보안 조치를 우회하는 숨겨진 방법)를 네트워크에 설치하여, 발견되어 제거되더라도 다시 설치될 수 있습니다.
  5. 공격: 마지막으로, Maze는 데이터를 암호화하고 유출하는 과정을 시작합니다.데이터가 암호화되면 Maze는 피해자에게 지급 방법, 데이터 잠금 해제, 데이터 유출 방지 방법을 알려주는 랜섬 메모를 표시하거나 전송합니다.

Maze는 데이터를 어떻게 유출할까요?

" 유출"은 무단으로 데이터를 신뢰할 수 있는 영역 외부로 이동시키는 것을 의미합니다.일반적으로 Maze는 파일 전송 프로토콜(FTP) 서버에 연결하여 파일과 데이터를 암호화하는 것 외에도 이 서버로 복사하는 방식으로 데이터를 유출합니다.공격자는 PowerShell 및 WinSCP 유틸리티를 사용하여 이러한 작업을 수행해왔습니다.

유출된 데이터가 FTP 서버로 직접 전송되는 대신 클라우드 파일 공유 서비스로 전송되는 경우도 있습니다.

Maze 웹 사이트란?

Maze를 만든 랜섬웨어 그룹에서는 몇 년 동안 다크 웹에서 웹 사이트를 운영했습니다. 이들은 과거 공격의 증거로 이 웹 사이트에 탈취한 데이터와 문서를 게시하고 탈취한 데이터를 공유하기 위한 소셜 미디어 링크도 포함시켰습니다.

2020년 11월 자체 웹 사이트에 올린 게시물에서 Maze 그룹은 운영을 중단한다고 주장했습니다. 그러나 랜섬웨어 그룹이 종종 그렇듯이 이들은 다른 이름으로 활동할 수도 있습니다.

Cognizant Maze 랜섬웨어 공격이란?

Cognizant Maze 랜섬웨어 공격은 2020년 4월에 발생했던 주요 사건입니다.Cognizant 는 전 세계 기업을 위한 IT 서비스 공급자입니다.이 공격으로 인해 Cognizant 의 네트워크가 손상되었고 고객의 기밀 데이터가 도난당했을 수도 있습니다(Cognizant에서는 어떤 고객이 이 공격의 영향을 받았는지는 밝히지 않았습니다).Cognizant에서 서비스를 완전히 복구하는 데는 몇 주가 걸렸고, 그 기간에 많은 고객사의 비즈니스 프로세스가 느려지거나 중단되었습니다.

Cognizant에서는 이 공격으로 인해 5천만 달러에서 7천만 달러의 손실을 입은 것으로 추산했습니다.

기타 주요 Maze 공격에는 어떤 것이 있었을까요?

  • 미국 플로리다주 펜사콜라: 펜사콜라시에서는 2019년에 Maze로 인해 피해를 입었습니다.공격자들은 공격의 증거로 2GB의 펜사콜라 데이터를 유출했습니다.
  • 캐논: Maze는 2020년에 영상 장비 회사 캐논을 감염시켰습니다.공격자는 10TB의 데이터를 유출했습니다.캐논의 무료 스토리지 서비스 사용자 중 상당수가 이 공격으로 인해 데이터를 영구적으로 잃었습니다.
  • 제록스: Maze는 2020년에 제록스의 시스템을 손상시켜 100GB의 데이터를 빼냈습니다.
  • LG전자: 2020년, Maze는 LG의 소스 코드 데이터를 훔쳐 유출했습니다.

기타 Maze 피해자로는 월드넷 텔레커뮤니케이션, 콜럼버스 메트로 연방 신용 조합, 미국 정골요법협회, VT 샌안토니오 항공우주 등이 있습니다.

Maze 랜섬웨어를 예방하는 방법

다음과 같은 단계를 통해 Maze 랜섬웨어 공격의 가능성을 훨씬 줄일 수 있습니다.

  • 기본 자격 증명 사용 금지: Maze 공격은 자격 증명 도용을 통해 네트워크에 침투합니다.기본 사용자 이름과 비밀번호는 일반적으로 범죄 조직에 잘 알려진 것이므로 아주 안전도가 낮습니다.
  • 2단계 인증(2FA) 사용: 2FA는 애플리케이션에 대한 액세스 권한을 부여하기 전에 사용자 이름과 비밀번호 이상의 인증 방법을 사용하는 것을 의미합니다(예: 공격자가 도용하거나 복제할 수 없는 하드웨어 토큰을 사용하도록 요구하기).
  • 이메일 보안: 악의적 이메일 첨부 파일을 필터링하고 사용자가 예상치 못한 이메일과 신뢰할 수 없는 첨부 파일을 무시하도록 교육합니다.
  • 시스템 업데이트: 소프트웨어를 업데이트하여 Maze가 일반적으로 서버와 네트워크를 손상시키는 데 사용하는 일부 취약점을 패치할 수 있습니다.
  • 맬웨어 방지 검사: Maze 감염이 발생하면 가능한 한 빨리 감염된 장치에서 이를 탐지하고 제거하는 것이 중요합니다.맬웨어 방지 프로그램은 장치에서 대부분의 형태의 Maze를 감지할 수 있습니다.감염된 장치는 나머지 네트워크와 즉시 격리해야 합니다.
  • Zero Trust 보안: Zero Trust 보안 모델은 사용자와 장치를 정기적으로 재확인하고 맬웨어에 감염된 장치의 액세스를 즉시 제한하여 네트워크 내부망 이동을 방지합니다.Zero Trust 네트워크에 대하여 자세히 알아보세요.

Cloudflare One은 원격 사용자, 사무실, 데이터 센터를 안전하게 연결하는 Zero Trust 서비스형 네트워크(NaaS) 플랫폼입니다. Cloudflare One 및 랜섬웨어 공격에 대응하는 방법을 자세히 알아보세요.