IT서비스를 제공하는 다국적 기업 Cognizant가 지난 금요일 밤 Maze 랜섬웨어의 공격을 받은것으로 알려지고 있다. Cognizant는 전 세계에서 가장 큰 IT 관리 서비스 회사 중 하나로 약 30 만 명의 직원과 150 억 달러 이상의 매출을 달성하고 있다.
Maze 랜섬웨어의 주요 특징으로는 RSA-2048 및 ChaCha20 알고리즘을 암호화에 사용하며 피해업체가 몸값을 지불하지 않으면 회사의 데이터를 공개 할 것을 위협하는 것으로 알려져있다. 공격방식은 주로 Fallout Exploit Kit, Spelevo Exploit Kit 등을 사용하는 것으로 알려져있다.
Cognizant는 사고 인지 후 고객에게 보내는 메일에 보안사고가 발생했으며 고객의 시스템을 모니터링하고 더욱 안전하게 사용하기 위해 필요한 조사를 통해 식별된 IoC 목록을 포함한다고 안내하고 있다. IoC 목록에는 kepstl32.dll, memes.tmp 및 maze.dll 파일 해시와 IP 주소를 포함하고 있다.
이 [1]IP 주소와 파일은 Maze 랜섬웨어 공격자가 이전 공격에 사용했던 것으로 알려져 있으며, 보안 연구원 Vitali Kremez는 Maze 랜섬웨어 DLL을 탐지하는 데 사용할 수있는 [2]Yara 규칙을 또한 공개했다.
[1] https://www.mcafee.com/blogs/other-blogs/mcafee-labs/ransomware-maze/
[2] https://github.com/k-vitali/Malware-Misc-RE/blob/master/2020-04-18-maze-ransomware-unpacked-payload.vk.yar
[참고자료]
보안관제센터 MIR Team