시만텍, 페트야 랜섬웨어 확산 경고
글로벌 사이버 보안 선도기업 시만텍이 ‘페트야 랜섬웨어(Ransom.Petya)’의 새로운 변종이 전 세계 대기업·기관들을 공격하고 있다고 밝히고 이에 대한 각별한 주의를 당부했다.
페트야 랜섬웨어의 새로운 변종이 27일 유포되기 시작하면서 많은 감염사례가 보고되고 있다. 최근 전 세계적으로 대규모 감염사태를 초래한 워너크라이(WannaCry)와 유사하게 페트야 랜섬웨어도 MS17-010 취약점을 이용한 이터널 블루(Eternal Blue) 익스플로잇을 통해 스스로 전파가 가능한 것이 특징이다.
페트야는 2016년 최초 탐지됐으며 단순히 파일을 암호화하는 전형적인 랜섬웨어와 달리 마스터 부트 레코드(MBR)를 덮어쓰고 암호화함으로써 더 큰 피해를 입히는 것으로 분석된다. 이번에 발견된 공격에서는 파일 복구를 위해 300달러의 몸값을 비트코인으로 요구하는 사례가 확인되었다.
시만텍 조사에 따르면 페트야는 현재 유럽에 있는 기업들을 주 공격 대상으로 하고 있다. 현재로서는 표적 공격 여부는 확실하지 않지만 페트야 이전 변종은 기업을 겨냥한 표적 공격에 사용된 바 있었다.
윤광택 시만텍코리아 CTO는 “페트야 랜섬웨어는 미국국가안보국(NSA) 해킹에 의해 유출된 SMB 취약점을 이용해 대량으로 확산된 워너크라이 랜섬웨어의 웜 전파 방식을 차용한 사례로 앞으로 이를 모방한 유사 사이버 범죄가 등장할 것으로 예상된다”며 “국내 기업들도 피해를 입지 않도록 소프트웨어를 업데이트하고 최신 보안패치를 적용해야 할 것”이라고 당부했다.
시만텍 제품들은 페트야 컴포넌트를 ‘Ransom.Petya’로 탐지한다. 시만텍 엔드포인트 프로텍션(SEP)과 노턴 제품들은 이터널 블루를 사용해 페트야를 확산하려는 시도로부터 안전하게 보호하며, 소나(SONAR) 행동 탐지 기술은 페트야 감염을 능동적으로 차단한다.
또한 시만텍은 MS17-010 취약점을 이용한 시도를 차단하기 위해 다음과 같은 IPS 보안을 제공한다.
OS 공격: 마이크로소프트 SMB MS17-010 공개 시도(2017년 5월 2일 발표)
공격: 쉘코드(Shellcode) 다운로드 활동(2017년 4월 24일 발표)
