기업과 사용자들 사이에서 클라우드 환경은 랜섬웨어의 위협으로부터 안전하다는 믿음이 널리 퍼져 있습니다. 하지만 최근 Proofpoint 연구원들이 발견한 바에 따르면, 악의적인 공격자는 플랫폼의 기본 파일 '자동 저장' 기능 덕분에 제공되는 Microsoft 365 파일 버전 백업을 악용하여 랜섬웨어 공격을 일으킬 수 있습니다.
간단히 말해, 사이버 범죄자는 백업된 파일을 포함하여 알려진 모든 버전의 파일을 전용 백업이나 공격자의 암호 해독 키 없이는 복구할 수 없는 방식으로 암호화할 수 있습니다.
그림 1. SaaS 애플리케이션에서 발견된 멀웨어 수(MS 팀즈 포함)
안타깝게도 랜섬웨어가 Microsoft 365의 영역을 침범한 것은 이번이 처음이 아닙니다. 6년 전으로 거슬러 올라가면, Cerber 랜섬웨어 변종은 Microsoft 365를 겨냥하여 기본 Microsoft 365 보안을 우회하는 새로운 제로데이 공격으로 수백만 명의 사용자를 노출시켰습니다.
어떻게요? 악성 파일을 첨부한 피싱 이메일, 사용자를 속여 매크로 콘텐츠를 허용하도록 유도하는 방법, 타사 애플리케이션을 무기화하는 방법 등 오늘날에도 여전히 사용되고 있는 유사한 기법을 사용합니다.
클라우드 서비스는 단일 에코시스템에 방대한 수의 사용자가 모이기 때문에 사이버 범죄자의 주요 표적이 됩니다. 잘 설계된 랜섬웨어 공격이 Microsoft 365 서비스를 사용하는 많은 기업에 미칠 수 있는 피해를 상상해 보세요. 2020년 솔라윈즈와 Microsoft에 대한 첫 번째 공격에서 보았듯이, 경제적 영향은 매우 치명적일 수 있습니다.
이러한 침해는 어떻게 발생했을까요?
클라우드 서비스 및 애플리케이션은 그 어느 때보다 기업에게 미션 크리티컬한 요소입니다. 따라서 범죄자들이 피해자가 몸값을 지불할 의향이 훨씬 더 높다는 것을 알기 때문에 Microsoft 365와 같은 클라우드 플랫폼을 계속 노리는 것은 당연한 일입니다. 여기서 공격 벡터는 클라우드 백업을 위한 기본 Microsoft 365 기능을 악용하는 것입니다. 기본 제공 도구와 매개 변수를 사용하는 '기본 제공' 위협은 일반적으로 더 쉽게 악용될 수 있고 탐지 및 방지하기가 더 어렵기 때문에 완화하기가 더 어렵습니다.
무엇을 할 수 있나요?
모범 사례를 조합하면 이와 같은 공격의 영향을 크게 줄일 수 있으며, 특히 초기 공격 벡터가 여전히 Microsoft 365 계정 탈취를 통한 침해인 경우 더욱 그렇습니다.
단계 인증 및 다단계 인증(MFA) 강제 적용, 강력한 비밀번호 표준 적용, 엄격한 신원 액세스 제어 유지, 직원 인식 교육 프로그램에 대한 지속적인 투자와 같은 기본적인 조치를 간과해서는 안 됩니다.
그림 2: Skyhigh Security: 탐지된 행동의 이상 징후 카테고리
위에서 언급한 이유로 이러한 위험을 완전히 방지하는 것은 항상 어려운 일입니다. 따라서 버전 백업 제한 및 자동 저장 구성의 변조에 대한 경고 신호일 수 있는 비정상적인 관리 작업이나 데이터 액세스 요청 등 잠재적으로 위협이 될 수 있는 의심스러운 이상값 및 활동을 감지하도록 트리거 및 이상 매개변수를 설정하세요.
많은 타사 애플리케이션은 OAuth 토큰을 통해 SaaS 플랫폼(이 경우 Microsoft 365 등)에 연결합니다. 환경에 로그인하는 새 사용자와 달리 OAuth 토큰은 초기 부여 후 ID 공급자를 통해 인증할 필요가 없습니다. 앱이 OAuth를 통해 Microsoft 365 및 해당 데이터에 액세스하면 액세스가 해지될 때까지 해당 액세스 권한이 무기한 유지됩니다. 따라서 의심스러운 앱이 Microsoft 365 테넌트로 다시 액세스하는 경우 토큰 및 액세스를 해지해야 합니다.
조직은 항상 '유출을 가정'하는 사고방식을 채택하여 최악의 상황에 대비해야 합니다. 따라서 지금과 같은 시기에는 검증된 BC/DR 복구 절차 외에 오프라인 백업도 나쁘지 않습니다.
그림 3. Skyhigh Security: 연결된 앱의 액세스 권한 취소