메이즈 랜섬웨어란 무엇인가요?
랜섬웨어는 수십 년 동안 존재해 왔지만, 2017년 워너크라이 랜섬웨어 공격으로 인해 유명해졌습니다. 워너크라이의 성공에 주목한 다른 사이버 범죄자들은 자체 랜섬웨어 변종을 개발하여 자체 공격 캠페인을 시작했습니다. Maze는 이러한 새로운 랜섬웨어 변종 중 하나입니다. 몇 년 전부터 존재해 왔지만, 2019년에는 '이중 갈취' 랜섬웨어를 개척하여 새로운 역사를 썼습니다.
과거에는 랜섬웨어가 사람들의 파일을 암호화한 후 다시 액세스하려면 몸값을 요구하는 단순한 비즈니스 모델로 운영되었습니다. 하지만 이 방법은 대상자가 몸값을 지불하는 경우에만 작동합니다. 일부 랜섬웨어 피해자는 백업에서 복구할 수 있었지만, 다른 피해자는 손실을 인정하고 랜섬웨어 운영자에게 "동물에게 먹이를 주지 말라"는 식의 접근 방식을 취했습니다.
수익 감소로 인해 Maze 랜섬웨어 그룹은 전략을 수정하여 전통적인 랜섬웨어 공격과 데이터 유출을 단일 캠페인에 결합하기로 결정했습니다. 공격자는 조직의 네트워크에 액세스하여 대량의 민감한 정보를 훔친 다음 모든 것을 암호화합니다. 공격 대상이 몸값 지불을 거부하면 메이즈 그룹은 탈취한 데이터를 공개적으로 노출하거나 최고 입찰자에게 판매하겠다고 협박합니다.
이러한 접근 방식은 탈취된 데이터가 공개되면 조직이 경쟁 우위를 잃고(지적 재산과 영업 비밀이 경쟁사에 노출되는 경우) 데이터 보호 규정에 위배될 수 있기 때문에 Maze의 성공 가능성을 높였습니다(GDPR, CCPA 등에 의해 보호되는 고객 데이터의 손실로 인해).
메이즈 랜섬웨어는 어떻게 작동하나요?
메이즈는 다른 랜섬웨어 변종과 크게 다르지 않습니다. 이들 모두는 오늘날 사용되는 암호화 알고리즘이 현대 기술로는 해독이 불가능하다는 사실을 이용합니다. 데이터가 암호화된 경우, 해당 암호 해독 키를 가진 사람(이 경우 미로 그룹)만이 원본 데이터에 액세스할 수 있습니다. 결과적으로 랜섬웨어는 파일을 암호화하고, 원본과 백업을 삭제하고, 암호화 키의 유일한 사본이 랜섬웨어 운영자에게 전송되도록 하기만 하면 됩니다.
그럼에도 불구하고 모든 랜섬웨어 변종과 캠페인이 동일한 것은 아닙니다. 랜섬웨어 변종의 차이점 중 하나는 초기 감염 경로의 선택과 네트워크를 통해 확산되는 방식에 있습니다. 메이즈는 일반적으로 피싱 이메일을 통해 액세스 권한을 얻은 다음, 다양한 기술을 사용하여 네트워크를 통해 측면으로 이동하여 더 많은 시스템을 감염시킬 수 있습니다.
마지막으로, 메이즈는 앞서 언급한 "이중 갈취" 전략의 선구자라는 점에서 다른 랜섬웨어와 차별화됩니다. 다른 랜섬웨어 그룹이 그들의 발자취를 따랐지만, 메이즈 그룹은 공격 대상 컴퓨터에서 데이터를 훔친 다음 데이터를 암호화한 최초의 그룹입니다.
메이즈 랜섬웨어로부터 보호하는 방법
과거에는 랜섬웨어가 파일에 대한 사용자 액세스를 거부하는 데 집중했습니다. 파일을 암호화한 다음 복호화 키에 대한 몸값을 요구하는 방식으로 이루어졌습니다. 이러한 오리지널 랜섬웨어 변종에는 이를 방어할 수 있는 여러 가지 옵션이 존재했습니다. 공격이 완료된 후 암호화된 파일을 복원할 수 있는 안전한 데이터 백업이 있는 것만으로도 멀웨어의 영향을 충분히 완화할 수 있었습니다.
Maze에서는 백업에서 복원하는 것만으로는 충분하지 않습니다. 공격의 일환으로 메이즈는 사이버 범죄자가 몸값을 지불하지 않으면 공개하겠다고 협박하는 데이터를 훔칩니다. 데이터 유출의 위험과 관련 규제 및 법적 처벌을 피하려면 조직은 Maze 랜섬웨어 공격이 피해를 입히기 전에 이를 탐지하고 차단해야 합니다.
체크포인트의 SandBlast 네트워크와 SandBlast 에이전트의 역할이 바로 여기에 있습니다. SandBlast 는 조직이 Maze 랜섬웨어 공격의 모든 단계에 대응할 수 있도록 지원합니다:
- 예방: SandBlast 네트워크 및 SandBlast 에이전트는 조직의 네트워크와 엔드포인트를 보호합니다. 이를 통해 Maze 랜섬웨어가 대상 디바이스에 액세스하기 전에 이를 탐지하고 차단할 수 있습니다.
- 탐지: SandBlast 위협 헌팅은 조직이 네트워크에 숨겨진 Maze 랜섬웨어 감염을 탐지하는 데 도움이 됩니다. 이렇게 하면 피해가 발생하기 전에 멀웨어를 삭제할 수 있습니다.
- 조사: 체크 포인트 Infinity SOC는 네트워크에서 감염된 디바이스를 탐지하는 데 도움이 됩니다. 이를 통해 메이즈의 확산을 막기 위해 격리하고 치료 및 복구를 지원할 수 있습니다.
- 복구: SandBlast 포렌식 보고서는 암호화된 파일의 전체 복구를 지원합니다. SandBlast 에이전트는 랜섬웨어가 일반적으로 삭제하는 파일 복구를 위해 컴퓨터의 섀도 복사본에 의존하지 않습니다.
체크 포인트로 메이즈 랜섬웨어로부터 보호하는 방법
메이즈는 정교한 랜섬웨어 변종이지만 그렇다고 해서 탐지 및 방어가 불가능하다는 의미는 아닙니다. 체크포인트는 MITRE ATT&CK 프레임워크를 사용하여 위협 헌팅으로 Maze를 탐지하는 방법을 보여주는 동영상을 공개했습니다.
체크 포인트의 SandBlast 제품 라인은 Maze 랜섬웨어 공격으로부터 조직을 보호하는 데 이상적입니다. SandBlast 에이전트 무료 평가판을 통해 체크포인트의 엔드포인트 보호 기능을 직접 체험해 보세요. 네트워크 수준에서는 SandBlast 네트워크의 데모를 통해 Maze 랜섬웨어 보호 기능을 확인하세요.
피드백