감염 지표(IOC)에는 MBR 암호화로 인해 운영 체제에 접근할 수 없는 상태, 시스템 재부팅 시 랜섬 노트의 존재, SMB 악용과 관련된 비정상적인 트래픽, 그리고 Petya 페이로드와 연관된 파일들이 포함됩니다.
Petya 랜섬웨어는 피해자가 랜섬을 지불할 때까지 컴퓨터 시스템에 대한 접속을 차단하는 특히 악의적인 멀웨어 제품군입니다. 하드 드라이브와 서버의 개별 파일을 암호화하는 다른 종류의 랜섬웨어와 달리 Petya는 Microsoft Windows 운영 체제를 표적으로 삼아 MBR(Master Boot Record)과 MFT(Master File Table)를 암호화해 컴퓨터가 부팅되지 않도록 합니다.
Petya 랜섬웨어의 배후에 누가 있는지 정확히 알 수는 없지만, 분석가들은 사이버 공격이 랜섬 지불을 통해 금전적 이득을 노리는 사이버 범죄자라고 말합니다. Petya 랜섬웨어는 2016년에 처음 탐지되었습니다.
An example of a Petya ransomware notice that appears on victims’ computer screens
NotPetya 랜섬웨어란 무엇일까요?
2017년에 새로운 변종인 Petya가 전 세계 기업을 감염시키기 시작했습니다. 이 새로운 랜섬웨어 변종은 몇 가지 중요한 차이점이 있는 Petya와 유사하기 때문에 사이버 보안 전문가들은 NotPetya라고 명명했습니다. 이전에 WannaCry 랜섬웨어 공격에서 볼 수 있었던 것과 동일한 EternalBlue 취약점을 사용했습니다.
NotPetya는 원래 랜섬웨어로 보였지만, 나중에 이 새로운 변종이 파일을 암호화하는 와이퍼 역할을 더 많이 했지만 랜섬 메모의 결제 링크가 가짜였기 때문에 복구 가능성은 없다는 사실이 밝혀졌습니다. 와이퍼 멀웨어는 랜섬을 수집하지 않고 데이터를 파괴하거나 손상시키도록 설계되었습니다.
매우 파괴적인 NotPetya 공격은 원래 우크라이나의 기업을 표적으로 삼았기 때문에 보안 연구 분석가들은 NotPetya 변종이 러시아 정부의 승인을 받아 국가 후원 해커에 의해 시작되었을 수 있다고 믿습니다.
이 멀웨어는 유럽 전역으로 빠르게 확산되어 오래된 Windows 시스템의 취약점을 악용해 기업에 영향을 미칩니다. 가장 정교한 NotPetya 공격 중 하나는 글로벌 운송 회사 Maersk였습니다.
NotPetya는 전파 기술에서 Petya와 달랐습니다. NotPetya는 Medoc(M.E.Doc) 회계 소프트웨어의 업데이트 메커니즘을 통해 우크라이나 기업을 악용했습니다. 추가적인 전파 기술에는 백도어와 사용자의 Windows 인증정보를 훔치는 데 사용되는 Mimikatz 툴의 사용이 포함되었습니다. NotPetya는 또한 PsExec 및 WMI(Windows Management Instrumentation)와 같은 정상적인 툴을 트로이 목마로 전환함으로써 전파되었습니다.
감염 발생 방식
Petya 랜섬웨어는 주로 악성 첨부 파일이 포함된 피싱 이메일을 통해 확산됩니다. 여기에는 인사 부서에 가짜 구직 신청서를 보내는 이메일이 포함될 수 있습니다.
Petya 랜섬웨어의 작동 방식
Petya 랜섬웨어는 MBR을 하드 드라이브의 파일 시스템을 암호화하는 악성 코드로 대체합니다. 그런 다음 시스템이 재부팅된 후 암호 해독 키에 대한 대가로 비트코인으로 랜섬 지불을 요구하는 랜섬 메모를 표시합니다.
Petya 랜섬웨어 감염을 예방하는 방법
Petya 및 NotPetya와 같은 랜섬웨어를 방지하려면 IT 및 보안 팀이 여러 수준의 안티 랜섬웨어 툴과 사이버 보안 방어를 배포해야 합니다. 주요 활용 분야는 다음과 같습니다.
- 운영 체제 및 소프트웨어에 대한 업데이트 및 패치 : 정기적인 업데이트와 패치는 랜섬웨어 공격으로 악용되는 취약점을 제거하는 데 도움이 될 수 있습니다. IT 팀은 EternalBlue와 같은 취약점에 대한 패치를 특히 주의하고 SMBv1과 같은 오래된 프로토콜을 비활성화해야 합니다.
- 사이버 보안 제품: 방화벽, 침입 방지 시스템(IPS), DNS 및 네트워크 필터, 애플리케이션 허용 목록, 제로 트러스트 솔루션과 같은 기술은 위협을 차단하고 잠재적으로 의심스러운 활동을 탐지하는 데 도움이 됩니다.
- 안티바이러스 및 안티멀웨어: 이러한 솔루션은 멀웨어 및 악용에 대한 실시간 보호 기능을 제공합니다.
- 백업: 중요한 파일의 백업 사본을 보관하면 Petya 랜섬웨어 공격 후 기업이 더 빠르게 복구하는 데 도움이 될 수 있습니다. IT 팀은 백업을 자주 수행하는 것 외에도 멀웨어 및 랜섬웨어에 의한 감염을 방지하기 위해 파일 사본을 오프라인 백업에 보관해야 합니다.
- 훈련: 보안 인식 교육은 피싱 공격을 탐지하는 방법과 Petya 랜섬웨어와 같은 공격을 피하는 데 도움이 될 수 있는 보안 습관에 대해 직원들을 교육합니다.
- 이메일 필터링: 이메일에서 멀웨어 및 악성 링크를 스캔하고 잠재적인 악성 첨부 파일을 차단하면 Petya 랜섬웨어가 최종 사용자에게 도달하는 것을 방지할 수 있습니다.
- 강력한 ID 및 접속 관리: ID 중심 방어 체계를 도입하면 고도로 분산된 IT 환경을 보유한 기업은 멀웨어와 랜섬웨어를 확산하려는 해커의 무단 접속을 방지할 수 있습니다.
Petya 랜섬웨어를 제거 하는 방법
IT 및 보안팀은 몇 가지 단계로 Petya 코드를 제거할 수 있습니다.
- 격리: IT 팀은 감염이 확산되는 것을 방지하기 위해 감염된 시스템을 네트워크의 다른 부분으로부터 격리해야 합니다.
- 식별: 랜섬웨어의 변종을 정확히 식별하는 것은 감염을 제거하는 최선의 방법을 결정하고 잠재적인 암호 해독 툴을 찾는 데 필수적입니다.
- 제거: IT 팀은 이후 특수 툴을 배포하여 영향을 받는 드라이브를 정리하고, 악용 키트를 제거하며, 공격자가 랜섬웨어를 재설치하는 데 사용했을 수 있는 취약점을 해결할 수 있습니다.
- 복구: 영향을 받는 파일은 깨끗한 백업 복사본에서 복원할 수 있습니다.
- 문의: 법 집행 기관과의 조율은 랜섬웨어 공격을 일으키는 사이버 범죄 조직을 추적하는 데 도움이 될 수 있습니다.
FAQ
EternalBlue는 미국 NSA(National Security Agency)에서 개발하고 유출된 취약점 악용 코드입니다. EternalBlue는 Windows 네트워킹 프로토콜의 취약점을 악용하고 공격자가 표적 IT 환경에서 코드를 실행해 시스템을 제어할 수 있도록 합니다.
Petya라는 용어는 제임스 본드 영화 GoldenEye에서 무기를 실은 소련 위성의 이름에서 유래되었습니다.
고객이 Akamai를 선택하는 이유
Akamai는 온라인 비즈니스를 지원하고 보호하는 사이버 보안 및 클라우드 컴퓨팅 기업입니다. 시장을 대표하는 보안 솔루션, 탁월한 위협 인텔리전스, 글로벌 운영팀이 모든 곳에서 기업 데이터와 애플리케이션을 보호하는 심층적 방어 기능을 제공합니다. Akamai의 풀스택 클라우드 컴퓨팅 솔루션은 세계에서 가장 분산된 플랫폼에서 성능과 경제성을 제공합니다. 글로벌 기업들은 자신감 있게 비즈니스를 성장시키는 데 필요한 업계 최고 수준의 안정성, 확장성, 전문성을 제공하는 Akamai를 신뢰합니다.