중요한 업무용 이메일을 작성하다가 갑자기 모든 것에 액세스할 수 없다고 상상해 보세요. 또는 컴퓨터 암호 해독을 위해 비트코인을 요구하는 악의적인 오류 메시지를 수신합니다. 다양한 시나리오가 있을 수 있지만 모든 랜섬웨어 공격에 대해 동일하게 유지되는 한 가지는 공격자가 항상 액세스 권한을 되찾는 방법에 대한 지침을 제공한다는 것입니다. 물론, 유일한 문제는 먼저 상당한 양의 몸값을 선불로 제공해야 한다는 것입니다.
'Maze'로 알려진 파괴적인 유형의 랜섬웨어가 사이버 보안 세계를 강타하고 있습니다. 다음은 Cognizant Maze 랜섬웨어에 대해 알아야 할 사항입니다.
Maze 랜섬웨어란 무엇입니까?
Maze 랜섬웨어는 Windows 변형 형태로 제공되며 스팸 이메일 및 익스플로잇 킷을 통해 배포되며 도난당한 데이터의 암호 해독 및 복구에 대한 대가로 막대한 양의 비트코인 또는 암호화폐를 요구합니다.
이메일은 "당신의 Verizon 청구서를 볼 준비가 되었습니다" 또는 "패키지 배송을 놓쳤습니다"와 같은 겉보기에 무해한 제목으로 도착하지만 악성 도메인을 통해 발송됩니다. Maze는 회사 네트워크에 침투하는 여러 그룹과 이익을 공유하는 개발자 네트워크를 통해 운영되는 제휴 기반 랜섬웨어라는 소문이 있습니다.
유사한 공격으로부터 노출을 보호하고 제한하는 전략을 마련하려면 Cognizant Maze를 반영해야 합니다...
Cognizant Maze 랜섬웨어 공격
2020년 4월, Fortune 500대 기업이자 가장 큰 글로벌 IT 서비스 제공업체 중 하나인 Cognizant는 전반적으로 엄청난 서비스 중단을 야기한 악의적인 Maze 공격의 희생자가 되었습니다.
이 공격에 의해 수행된 내부 디렉토리 삭제로 인해 여러 Cognizant 직원이 통신 장애를 겪었고 영업 팀은 고객과 통신할 방법이 없어 당황했으며 그 반대의 경우도 마찬가지였습니다.
Cognizant 데이터 유출이 회사가 코로나바이러스 대유행으로 인해 직원을 원격 근무로 전환할 때 발생했다는 사실이 문제를 더 어렵게 만들었습니다. CRN의 보고서에 따르면 직원들은 이메일 액세스 권한이 상실되어 동료에게 연락할 다른 수단을 찾아야 했습니다.
Cognizant의 CEO인 Brian Humphries는 "아무도 랜섬웨어 공격을 받고 싶어하지 않습니다. “저는 개인적으로 아무도 그것에 영향을 받지 않는다고 생각하지 않지만 차이점은 그것을 관리하는 방법입니다. 그리고 우리는 그것을 전문적이고 성숙하게 관리하려고 노력했습니다.”
회사는 최고의 사이버 보안 전문가와 내부 IT 보안 팀의 도움을 받아 상황을 빠르게 불안정하게 만들었습니다. Cognizant 사이버 공격은 법 집행 기관에도 보고되었으며 Cognizant 클라이언트는 IOC(Indicators of Compromise)에 대한 지속적인 업데이트를 제공받았습니다.
그러나 회사는 이 공격으로 인해 막대한 재정적 피해를 입었고 최대 5천만~7천만 달러의 매출 손실을 입었습니다.
Maze 랜섬웨어가 이중 위협인 이유는 무엇입니까?
랜섬웨어의 영향을 받는 것이 충분히 나쁘지 않은 것처럼 Maze 공격의 발명가는 희생자가 맞서 싸울 추가 반전을 던졌습니다. "이중 갈취"로 알려진 악의적인 전술이 Maze 공격과 함께 도입되어 피해자가 협력을 거부하고 랜섬웨어 요구 사항을 충족하지 않으면 손상된 데이터가 유출될 위협을 받습니다.
이 악명 높은 랜섬웨어는 직원의 네트워크 액세스를 차단하는 것 외에도 전체 네트워크 데이터의 복제본을 생성하고 이를 악용하여 피해자를 랜섬웨어로 유인하기 때문에 "이중 위협"이라고 불리는 것이 맞습니다.
불행히도, Maze 제작자의 압박 전술은 여기서 끝나지 않습니다. 최근 연구에 따르면 Maze 랜섬웨어의 배후에 있는 그룹인 TA2101이 이제 모든 비협조적 희생자를 나열하고 처벌의 한 형태로 도난당한 데이터 샘플을 자주 게시하는 전용 웹사이트를 게시했습니다.
Maze 랜섬웨어 사고를 제한하는 방법
랜섬웨어의 위험을 완화하고 제거하는 것은 각 사용자 사례와 개별 조직의 위험 프로필을 기반으로 다양한 전략을 결합하고 맞춤화하는 다면적 프로세스입니다. 다음은 Maze 공격을 바로 막는 데 도움이 될 수 있는 가장 인기 있는 전략입니다.
애플리케이션 화이트리스트 적용
애플리케이션 화이트리스팅은 사전 승인된 프로그램이나 소프트웨어만 실행하도록 허용하고 다른 모든 프로그램은 기본적으로 차단하는 사전 위협 완화 기술입니다.
이 기술은 악성 코드를 실행하려는 불법 시도를 식별하는 데 크게 도움이 되며 무단 설치를 방지하는 데 도움이 됩니다.
패치 애플리케이션 및 보안 결함
공격자의 조작 및 남용을 방지하기 위해 보안 결함이 발견되는 즉시 패치해야 합니다. 결함의 심각도에 따라 즉시 패치를 적용하기 위한 권장 기간은 다음과 같습니다.
- 극단적인 위험 :패치가 출시된 후 48시간 이내.
- 고위험 :패치가 출시된 후 2주 이내.
- 보통 또는 낮은 위험 :패치가 출시된 후 한 달 이내.
Microsoft Office 매크로 설정 구성
매크로는 일상적인 작업을 자동화하는 데 사용되지만 때때로 활성화되면 악성 코드를 시스템이나 컴퓨터로 전송하는 쉬운 대상이 될 수 있습니다. 가장 좋은 방법은 가능하면 비활성화된 상태로 유지하거나 사용하기 전에 평가 및 검토를 받는 것입니다.
응용 프로그램 강화 사용
애플리케이션 강화는 애플리케이션을 보호하고 도난으로부터 애플리케이션을 보호하기 위해 추가 보안 계층을 적용하는 방법입니다. Java 애플리케이션은 보안 취약성에 매우 취약하며 위협 행위자가 진입점으로 사용할 수 있습니다. 애플리케이션 수준에서 이 방법론을 사용하여 네트워크를 보호하는 것이 필수적입니다.
관리 권한 제한
관리자 계정은 모든 것에 접근할 수 있으므로 관리자 권한은 매우 주의해서 다루어야 합니다. Maze 랜섬웨어 또는 해당 문제에 대한 사이버 공격을 완화하는 데 필수적인 요소가 될 수 있으므로 액세스 및 권한을 설정할 때 항상 최소 권한 원칙(POLP)을 사용하십시오.
패치 운영 체제
경험상 매우 위험한 취약점이 있는 모든 응용 프로그램, 컴퓨터 및 네트워크 장치는 48시간 이내에 패치를 적용해야 합니다. 또한 최신 버전의 운영 체제만 사용하고 지원되지 않는 버전은 피하는 것이 중요합니다.
다단계 인증 구현
다중 요소 인증(MFA)은 온라인 뱅킹 또는 민감한 정보를 사용해야 하는 기타 권한 있는 작업과 같은 원격 액세스 솔루션에 로그인하는 데 여러 인증 장치가 필요하므로 보안 계층을 추가합니다.
브라우저 보호
브라우저가 항상 업데이트되고 팝업 광고가 차단되며 브라우저 설정이 알 수 없는 확장 프로그램의 설치를 방지하는지 확인하는 것이 중요합니다.
주소 표시줄을 확인하여 방문하는 웹사이트가 합법적인지 확인하십시오. HTTPS는 안전하지만 HTTP는 훨씬 덜 안전하다는 것을 기억하십시오.
이메일 보안 사용
Maze 랜섬웨어의 주요 진입 방법은 이메일입니다.
다단계 인증을 구현하여 보안 계층을 추가하고 암호 만료 날짜를 설정합니다. 또한 알 수 없는 출처의 이메일을 절대 열지 않거나 최소한 의심스러운 첨부 파일과 같은 것은 다운로드하지 않도록 자신과 직원을 교육하세요. 이메일 보호 솔루션에 투자하면 이메일을 안전하게 전송할 수 있습니다.
정기 백업 만들기
데이터 백업은 재해 복구 계획의 필수적인 부분입니다. 공격이 발생한 경우 성공적인 백업을 복원하여 해커가 암호화한 원래의 백업 데이터를 쉽게 해독할 수 있습니다. 자동 백업을 설정하고 직원을 위해 고유하고 복잡한 비밀번호를 만드는 것이 좋습니다.
영향을 받는 엔드포인트 및 자격 증명에 주의
마지막으로 중요한 것은 네트워크 엔드포인트가 Maze 랜섬웨어의 영향을 받은 경우 해당 엔드포인트에 사용된 모든 자격 증명을 신속하게 식별해야 한다는 것입니다. 항상 모든 엔드포인트가 사용 가능하거나 해커에 의해 손상되었다고 가정합니다. Windows 이벤트 로그는 침해 후 로그온 분석에 유용합니다.
Cognizant Maze Attack에 대해 멍하니?
Cognizant의 침해로 인해 IT 솔루션 제공업체는 막대한 재정 및 데이터 손실을 복구하기 위해 분주하게 움직였습니다. 그러나 최고의 사이버 보안 전문가의 도움으로 회사는 이 악의적인 공격에서 빠르게 복구했습니다.
이 에피소드는 랜섬웨어 공격이 얼마나 위험한지 보여주었습니다.
Maze 외에도 매일 악의적인 위협 행위자가 수행하는 수많은 다른 랜섬웨어 공격이 있습니다. 좋은 소식은 실사 및 엄격한 보안 관행을 갖추고 있다면 모든 회사에서 이러한 공격이 발생하기 전에 쉽게 완화할 수 있다는 것입니다.