Maze 랜섬웨어는 기밀 데이터를 암호화하고 탈취하므로 피해자가 랜섬을 지급해야 한다는 압박감이 더욱 가중됩니다.
이 글을 읽은 후에 다음을 할 수 있습니다:
관련 콘텐츠
인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!
글 링크 복사
Maze는 2019년부터 조직에 영향을 미치고 있는 랜섬웨어*의 변종입니다. 주요 그룹 하나가 Maze를 만들었지만, 여러 공격자가 갈취 목적으로 Maze를 사용했습니다.
Maze 운영자는 대부분 데이터를 암호화하는 것 외에도 암호화한 데이터를 복사하여 랜섬을 지급하지 않으면 데이터를 유출하겠다고 협박합니다. Maze 랜섬웨어 감염은 랜섬웨어의 부정적인 영향(데이터 손실, 생산성 저하)과 데이터 유출(데이터 누출, 개인 정보 보호 위반)이 결합되어 있어 기업에서 특히 우려해야 하는 대상입니다.
*랜섬웨어는 파일과 데이터를 암호화하여 잠그는 맬웨어입니다. 피해자는 공격자에게 랜섬을 지급해야만 파일과 데이터를 되찾을 수 있다는 메시지를 받게 됩니다.
Maze 랜섬웨어가 처음 사용되기 시작했을 때는 대부분 악의적 이메일 첨부 파일을 통해 유포되었습니다.최근의 공격은 랜섬웨어 페이로드를 침투시키기 전에 다른 방법을 사용하여 네트워크를 손상시킵니다.예를 들어, 많은 Maze 랜섬웨어 공격은 훔치거나 추측한 원격 데스크톱 프로토콜(RDP) 자격 증명(사용자 이름 및 비밀번호 조합)을 사용하여 네트워크에 침투합니다.기타 공격은 취약한 가상 사설망(VPN) 서버를 손상시키는 것으로 시작되었습니다.
Maze는 네트워크에 침투하면 다음 단계를 수행합니다.
" 유출"은 무단으로 데이터를 신뢰할 수 있는 영역 외부로 이동시키는 것을 의미합니다.일반적으로 Maze는 파일 전송 프로토콜(FTP) 서버에 연결하여 파일과 데이터를 암호화하는 것 외에도 이 서버로 복사하는 방식으로 데이터를 유출합니다.공격자는 PowerShell 및 WinSCP 유틸리티를 사용하여 이러한 작업을 수행해왔습니다.
유출된 데이터가 FTP 서버로 직접 전송되는 대신 클라우드 파일 공유 서비스로 전송되는 경우도 있습니다.
Maze를 만든 랜섬웨어 그룹에서는 몇 년 동안 다크 웹에서 웹 사이트를 운영했습니다. 이들은 과거 공격의 증거로 이 웹 사이트에 탈취한 데이터와 문서를 게시하고 탈취한 데이터를 공유하기 위한 소셜 미디어 링크도 포함시켰습니다.
2020년 11월 자체 웹 사이트에 올린 게시물에서 Maze 그룹은 운영을 중단한다고 주장했습니다. 그러나 랜섬웨어 그룹이 종종 그렇듯이 이들은 다른 이름으로 활동할 수도 있습니다.
Cognizant Maze 랜섬웨어 공격은 2020년 4월에 발생했던 주요 사건입니다.Cognizant 는 전 세계 기업을 위한 IT 서비스 공급자입니다.이 공격으로 인해 Cognizant 의 네트워크가 손상되었고 고객의 기밀 데이터가 도난당했을 수도 있습니다(Cognizant에서는 어떤 고객이 이 공격의 영향을 받았는지는 밝히지 않았습니다).Cognizant에서 서비스를 완전히 복구하는 데는 몇 주가 걸렸고, 그 기간에 많은 고객사의 비즈니스 프로세스가 느려지거나 중단되었습니다.
Cognizant에서는 이 공격으로 인해 5천만 달러에서 7천만 달러의 손실을 입은 것으로 추산했습니다.
기타 Maze 피해자로는 월드넷 텔레커뮤니케이션, 콜럼버스 메트로 연방 신용 조합, 미국 정골요법협회, VT 샌안토니오 항공우주 등이 있습니다.
다음과 같은 단계를 통해 Maze 랜섬웨어 공격의 가능성을 훨씬 줄일 수 있습니다.
Cloudflare One은 원격 사용자, 사무실, 데이터 센터를 안전하게 연결하는 Zero Trust 서비스형 네트워크(NaaS) 플랫폼입니다. Cloudflare One 및 랜섬웨어 공격에 대응하는 방법을 자세히 알아보세요.