Maze 랜섬웨어 운영자, LG와 제록스의 데이터 공개

Maze Ransomware operators published data from LG and Xerox

랜섬웨어 공격자들은 이번 달 동안 매우 활발히 활동했습니다. 

Maze 랜섬웨어 운영자들은 IT 대기업인 LG와 제록스(Zerox)로부터 훔친 내부 데이터 수십 GB를 공개한다고 밝혔습니다.

Maze 랜섬웨어 운영자들은 LG 네트워크에서 50.2GB, 제록스에서 25.8GB의 데이터를 게시했습니다.

지난 6월, 위협 인텔리전스 회사인 Cyble의 연구원들은 Maze 랜섬웨어 운영자가 게시한 LG전자의 데이터를 발견했습니다.

Maze 랜섬웨어 운영자들은 피해자들에게 랜섬머니를 지불하지 않을 경우 데이터를 온라인에 유출하겠다고 협박합니다. 

며칠 전, 해당 그룹은 기업들에 백업본에서 데이터를 복구하지 말 것을 경고하는 보도 자료를 발표했으며 LG전자에서 유출된 데이터도 공개할 것이라 밝힌 바 있습니다.

당시 Maze 랜섬웨어 운영자들은 유출 데이터에 대한 증거로 스크린샷 3개를 공개했습니다.

 

<이미지 출처: https://securityaffairs.co/wordpress/106749/cyber-crime/maze-ransomware-lg-xerox.html>

유출된 데이터를 분석한 ZDNet의 연구원들은 이 소스코드가 전화기기, 랩톱 등 다양한 LG 제품의 펌웨어에 포함된 것임을 확인했습니다.

ZDnet의 연구원들은 아래와 같이 설명했습니다.

“Maze 그룹은 LG의 네트워크에서 랜섬웨어를 실행하지는 않았지만, 회사의 데이터를 훔쳐 두 번째 협박 단계로 넘어가기로 했다고 밝혔습니다.”

Maze는 ZDNet 측에 아래와 같이 밝혔습니다.

“LG의 고객은 사회적으로 중요한 역할을 하고 있기 때문에, 그들의 운영을 방해하고 싶지 않았기 때문에 Maze 랜섬웨어를 실행하지 않기로 결정했습니다.”

또한 Maze는 제록스의 시스템에 침투해 파일을 암호화하기 전 먼저 이를 훔쳤습니다.

회사는 사이버 공격에 대해 공개하지는 않았지만, 6월 초 Maze 랜섬웨어 운영자가 제록스의 도메인이 암호화된 것을 보여주는 스크린샷 몇 개를 공개해 알려졌습니다. 

한 스크린샷은 제록스가 운영하는 “eu.xerox[.]net”의 호스트가 해킹 당했음을 나타내고 있었습니다.

또 다른 스크린샷은 해당 랜섬웨어 운영진이 2020년 6월 25일까지도 제록스의 네트워크에 접근했음을 보여줍니다.

지난 6월 24일, Maze 랜섬웨어 운영자는 유출 사이트에 게시된 피해자 목록에 제록스를 포함시켰습니다.

Maze의 공격 범위나 어떤 내부 시스템이 암호화되었는지, 어떤 파일이 유출되었는지는 아직까지 확실히 밝혀지지 않았습니다.

위협 인텔리전스 회사인 Bad Packets는 이 두 회사가 Citrix ADC 서버의 취약점인 CVE-2019-19781을 악용한 해킹 공격에 당한 것으로 추측했습니다. 

Bad Packets의 연구원들은 두 조직이 공격의 진입점이 될 수 있는 패치되지 않은 서버를 운영 중이었다는 것을 발견했습니다.

지난 몇 달 동안, Maze 랜섬웨어 그룹은 미국의 칩 제조 업체인 MaxLinear와 합병 및 인수 전문 자문 회사인 Threadstone Advisors LLP를 공격했습니다.

또한 미군 계약 업체인 Westech와 ST 엔지니어링 그룹에서 데이터를 훔치고, 코스타리카 은행의 신용카드 데이터를 훔쳐 이를 공개하겠다고 매주 협박을 가하고 있습니다.

Cognizant와 Conduent를 포함한 IT 서비스도 이 랜섬웨어의 공격을 받은 것으로 알려졌습니다.

출처:

https://securityaffairs.co/wordpress/106749/cyber-crime/maze-ransomware-lg-xerox.html