[스크랩] 이번엔 부팅까지 차단... 페트야 랜섬웨어

랜섬웨어 또 확산…이번엔 부팅까지 차단

페트야 악성코드…이터널블루 취약점 사용

---

워너크라이에 이어 또다른 랜섬웨어가 창궐했다. 컴퓨터 시스템을 망가뜨리고 비트코인을 요구하는데, 파일을 암호화하는 게 아니라 아예 부팅조차 할 수 없게 만든다. 페트야(Petya) 또는 골든아이(GoldenEye)라 불리는 악성코드다.

​

몇몇 미국과 유럽 사이버보안업체는 27일(현지시간)부터 러시아와 서유럽 지역 국가가 페트야 랜섬웨어 감염 피해를 입고 있다는 소식을 전하고 있다. 기술적인 감염 확산 방식은 지난달 악명을 떨친 워너크라이와 접점이 있지만, 피해를 입히는 동작 특성은 다르다.

​

이날 미국업체 시만텍은 공식블로그를 통해 페트야 랜섬웨어가 각국 대형 조직에 영향을 미치고 있다고 밝혔다. 워너크라이와 유사하게 미국 국가안보국(NSA)이 만들어 쓰다 유출시킨 윈도 취약점 공격코드(익스플로잇) '이터널블루'를 이용했다고 지적했다. [☞원문 바로가기]

​

페트야는 지난해 처음 등장한 암호화 랜섬웨어다. 여타 암호화 랜섬웨어처럼 일반 파일을 암호화하는 것을 넘어서, 마스터부트레코드(MBR)라는 영역을 망가뜨린다. 정상 부팅을 못하게 만든 뒤 복구를 원하면 비트코인을 송금하라는 문구만 표시한다. 요구 액수는 300달러다.

페트야 랜섬웨어 감염 시스템 부팅시 나타나는 화면. 파일뿐아니라 시스템 부팅영역까지 암호화해 기존 OS를 쓸 수 없게 만든다. [자료=시만텍]

​

같은날 러시아업체 카스퍼스키랩도 보안블로그를 통해 우크라이나, 러시아, 서유럽 지역에서 페트야 랜섬웨어 공격이 이뤄졌다고 알렸다. 감염 피해 비중 그래프를 보면 우크라이나, 러시아연방, 폴란드, 이탈리아, 독일 지역 순으로 많다. [☞원문 바로가기]

​

설명에 따르면 페트야 랜섬웨어 공격은 2천건 이상 이뤄졌다. 우선적으로 해당 지역 '기업'을 겨냥했다. 이 악성코드는 조직내 네트워크에서 관리자 권한을 보유한 시스템이 한 대만 감염되더라도 WMI 또는 PSexec를 통해 다른 컴퓨터로 전염될 수 있다.

​

페트야는 변형된 이터널블루 공격코드, 윈도XP부터 윈도서버2008 시스템까지 모두 TCP 445포트를 통해 원격코드실행 공격 대상으로 삼을 수 있는 '이터널로맨스' 공격코드, 메독(MeDoc)이라는 우크라니아 소프트웨어 제품의 업데이트 기능을 악용해 공격을 수행했다.

​

루마니아업체 비트디펜더 역시 페트야 확산 상황을 전하고 있다. 회사는 이 악성코드가 시스템의 개별 파일뿐아니라 NTFS 파일시스템 구조까지 망가뜨리는 2중 암호화로 피해 시스템의 악성코드 샘플 채취와 라이브OS 기반 재사용 방법을 차단했다고 지적했다. [☞원문 바로가기]

페트야 랜섬웨어 나라별 피해조직 소재 비율. [자료=카스퍼스키랩]

​

비트디펜더가 파악한 피해 조직 목록에 체르노빌 방사선모니터링시스템, 로펌 DLA파이퍼, 제약회사 머크, 다수 은행, 공항 한 곳, 키예프 지하철, 덴마크 해운사 머스크, 영국 광고에이전시 WPP, 러시아 석유회사 로스네프티가 이름을 올렸다.

​

비트디펜더에 따르면 이번 페트야 랜섬웨어 공격자들은 2시간만에 13건의 비트코인 송금을 받은 것으로 파악됐다. 3천500달러(약 398만원) 상당이다. 또 카스퍼스키랩은 24회에 걸쳐 2.54비트코인의 송금이 발생했는데 그 가치는 6천달러(약 683만원) 미만이라고 전했다.

​

지난해 4월 처음 등장한 페트야 랜섬웨어는 피싱 이메일로 전파됐다. 공격자가 메일에 악성코드를 내려받는 드롭박스 링크를 첨부해 PC 사용자가 내려받고 실행하게 유도했다. 이번엔 이터널블루 취약점 패치가 안 된 윈도 컴퓨터를 자동 감염시킬 수 있도록 진화했다.

​

이터널블루 취약점을 악용해 확산된 랜섬웨어는 지난달 중순 악명을 떨친 '워너크라이'가 대표적이다. 워너크라이는 지난달 15일 주말새 세계 150개국으로 급속 확산됐다. 피해 컴퓨터 규모는 유로폴 발표 기준 20만대, 미국 정부 대변인 브리핑 기준 30만대에 달했다. [☞관련기사 바로가기]

​

당시 영국 국가의료보건서비스(NHS) 소속 병원 등 48개 기관, 스페인 통신사 텔레포니카, 미국 배송업체 페덱스, 러시아 내무부, 일본 닛산, 프랑스 르노, 독일 국영철도회사 도이체반, 중국 석유천연가스집단(CNPC), 인도네시아와 일본 소재 병원 컴퓨터가 감염됐다.

​

한국에서도 주말 이후 기업들의 피해 사례가 속출했다. 대전 대형영화관 광고상영시스템, 종합병원 전산시스템 일부, IT서비스업체 장비 모니터링 서버, 제조업체 제조공정 서버 운영에 차질을 빚었고, 카드단말기 관리PC를 다루는 자영업자도 곤욕을 치렀다.

imc@zdnet.co.kr 임민철 기자

(링크 : http://www.zdnet.co.kr/news/news_view.asp?artice_id=20170628082801 )

예전부터 지금까지 그리고 앞으로도 한창 보안문제로 이슈가 되는 가운데 새로운 랜섬웨어도 끊이질 않고 있습니다.

이번에 등장한 랜섬웨어가 있는데요.

바로 골든아이 혹은 페트야 라고 불리는 랜섬웨어 입니다.

이 랜섬웨어는 기존과 다르게 파일을 암호화 시키는걸 넘어서 MBR영역까지 암호화하여 부팅자체를 못하게 만들어 버린다고 하네요.

이는 윈도우의 변형된 이터널블루 취약점을 이용하고, XP부터 윈도서버 2008 까지 모두 TCP 445를 통해 원격코드 실행 공격 대상으로 삼을 수 있는 '이터널로맨스' 공격코드, 메독(MeDoc)이라는 우크라이나 소프트웨어 제품의 업데이트 기능을 악용하여 감염시킨 것 이라고 합니다.

그리고 기업중심으로 대상으로 하여 권한이 있는 컴퓨터 한대가 감염이 되는 순간, 같은 네트워크 안에 WMI 또는 PSexec를 통해 다른컴퓨터로도 감염이 된다고 하네요.

이처럼 저번달에는 비슷하게 이터널블루 취약점을 이용한 워너크라이 랜섬웨어가 유행했지만 지금 페트야 랜섬웨어도 무서운 속도로 감염되고 있다고 합니다.  한국에서도 기업들의 피해가 속출하고 있어 서버 운영에 차질이 있었다고 하네요.

시험기간이 끝나고 정말 오랜만에 스크랩을 했네요 ㅎㅎㅎ

이렇게 무서운 랜섬웨어가 등장해 있을줄이야 감염된 분들은 하루 빨리 해결하셨으면 좋겠네요. 

다들 조심하시고 그럼 저는 이만 포스팅 마치겠습니다~