일본의 다국적 기업 Canon이 회사 이메일, Microsoft Teams 관련 데이터, 캐논 미국 웹사이트 및 기타 내부 응용 프로그램을 포함한 수 많은 서비스 영역에 Maze ransomware 공격 피해를 입은것으로 보인다. 이 피해로 캐논의 미국 웹사이트는 2020년 8월 6일 오후 2시 30분(KST) 기준으로도 계속해 오프라인 상태이다.
캐논 미국 홈페이지
|
Maze ransomware란?
Maze ransomware의 특징으로는 관리자 권한과 시스템의 윈도우 도메인 컨트롤러 액세스 권한을 획득하기까지 네트워크를 통해 전파되며, 권한을 획득하면 서버에 자료들을 전송한 후, 암호화를 시작한다. 또한 피해자가 협상에 응하지 않을 경우 자료를 공개하는 행동을 보이며 2020년 8월에는 LG와 Xerox 등의 기업 데이터를 공개한 예가 있다. |
최근까지 Maze ransomware 그룹은 다수의 IT컨설팅 회사 및 MSP(Managed Service Provider) 업체들을 공격해 왔다. 피해 회사는 아래와 같다.
- LG : https://www.bleepingcomputer.com/news/security/lg-electronics-allegedly-hit-by-maze-ransomware-attack/
- Xerox : https://www.bleepingcomputer.com/news/security/business-giant-xerox-allegedly-suffers-maze-ransomware-attack/
- Collabera : https://www.msspalert.com/cybersecurity-breaches-and-attacks/ransomware/maze-staffing-firm-collabera/
- VT san Antonio Aerospace : https://www.msspalert.com/cybersecurity-breaches-and-attacks/ransomware/maze-vt-san-antonio-aerospace/
- Conduent : https://www.msspalert.com/cybersecurity-breaches-and-attacks/ransomware/maze-conduent-customer-data-leaked/
- Cognizant : https://www.channele2e.com/news/maze-ransomware-attacks-cognizant-customers/
2020-08-05 오전(ET) 해당 Maze ransomware 그룹의 주장에 따르면 Canon을 대상으로 한 공격으로 10TB 가량의 데이터 등을 탈취했으며 현재로서는 몸값, 탈취한 데이터에 대한 정보 등 어떠한 정보의 공유도 거부하고 있다.
확인되는 침해 흔적
- 캐논 IT 부서로부터의 직원들에게 보낸 경고
[출처 : BleepingComputer]
- 랜섬노트
[출처 : BleepingComputer]
- 영향을 받은 캐논 도메인 목록
|
www.canonusa.com www.canonbroadcast.com b2cweb.usa.canon.com canondv.com canobeam.com canoneos.com bjc8200.com canonhdec.com bjc8500.com usa.canon.com imagerunner.com multispot.com canoncamerashop.com canoncctv.com canonhelp.com bjc-8500.com canonbroadcast.com imageland.net consumer.usa.canon.com bjc-8200.com bjc3000.com downloadlibrary.usa.canon.com www.cusa.canon.com www.canondv.com |
MSP가 랜섬웨어 공격으로부터 위험을 완화 하기 위한 방법
- 다중인증 적용
- BDR 및 보안 시스템 경고 구성
- MSP Documentation Platform을 채택 후, 데이터 보호 및 사이버 보안 프로세스, 재해 복구 계획 등을 문서화
- Stay Informed: 계속적인 사이버 보안 알림 서비스 필요
- 장기 계획 수립: 고객 기반 전반에서 리스크를 완화하기 전에 NIST 사이버 보안 프레임워크를 통해 비즈니스 내에서 리스크를 완화하는 방법을 이해
- MSP 직원 및 최종 사용자 인식 향상: 비즈니스 및 최종 고객을 위한 사이버 보안 인식 교육을 통해 사이버 공격 발생률을 저하
- 현명한 통합
- MSSP(Managed Security Service Provider)와의 파트너
- Refocus Your Travels: 코로나바이러스 대유행 속에서 대면회의가 취소됨에 따라, 사이버 교육을 계속하기 위한 가상의 대안 모색
출처 :
보안관제센터 Team MIR