Petya는 2016년에 처음 등장한 랜섬웨어의 변종입니다. NotPetya는 Petya와 많은 유사점을 가지고 있지만, 다르게 행동하는 맬웨어 변종입니다.
이 글을 읽은 후에 다음을 할 수 있습니다:
관련 콘텐츠
인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!
글 링크 복사
Petya는 2016년에 처음 발견된 랜섬웨어의 변종입니다. 다른 유형의 랜섬웨어와 마찬가지로 Petya는 피해자의 컴퓨터에 있는 파일과 데이터를 암호화합니다. Petya의 운영자는 파일을 해독하고 다시 사용할 수 있도록 하기 전에 비트코인으로 지급할 것을 요구합니다.
피해자를 갈취하기 위해 특정 중요 파일만 암호화하는 일부 이전 랜섬웨어 변종과 달리 Petya는 컴퓨터의 하드 디스크 전체를 잠급니다. 특히 컴퓨터의 마스터 파일 테이블(MFT)을 암호화하여 하드 디스크의 모든 파일에 액세스할 수 없도록 합니다.
Petya는 Windows 운영 체제가 설치된 컴퓨터만 노리는 것으로 관찰되었습니다.
다른 많은 랜섬웨어 공격과 마찬가지로 Petya는 주로 이메일 첨부 파일을 통해 확산됩니다. 공격자는 가짜 입사 지원서를 첨부하여 인사 부서에 이메일을 보냅니다. 첨부된 PDF에는 사용된 공격 방법에 따라 감염된 Dropbox 링크가 포함되어 있거나, 실제로는 실행 파일로 위장되어 있습니다.
2017년 6월, 전 세계 여러 조직에서 Petya와 여러 면에서 유사한 새로운 유형의 랜섬웨어로 감염되었습니다.Petya와 유사하지만, 몇 가지 중요한 차이점이 있으므로 보안 벤더 카스퍼스키(Kaspersky)에서는 이 랜섬웨어를 "NotPetya"라고 불렀습니다.2017년 6월 28일까지 NotPetya는 최소 2,000개의 조직에 영향을 미쳤습니다.피해 조직의 대다수는 우크라이나에 있었습니다.
Petya 랜섬웨어와 마찬가지로 NotPetya 랜섬웨어도 피해자의 전체 하드 디스크에 영향을 미쳤습니다. 하지만 NotPetya는 MFT가 아닌 전체 하드 디스크 자체를 암호화했습니다. 갑작스럽고 빠르게 확산되었으며 다양한 취약점 익스플로잇과 자격 증명 도용 방법을 사용하여 전체 네트워크를 빠르게 감염시켰습니다.
특히, NotPetya는 2017년 초에 전 세계를 강타한 WannaCry 공격에 사용된 것과 동일한 이터널블루 취약점(CVE-2017-0144)을 사용하는 것으로 관찰되었습니다.사용자가 악의적 이메일 첨부 파일을 열어야 감염이 시작되던 Petya와는 달리, 사용자의 개입 없이도 네트워크를 통해 빠르게 확산될 수 있었습니다.Microsoft는 2017년 3월에 이터널블루 취약점에 대한 패치를 발표했지만, 많은 조직에서 패치를 설치하지 않았습니다.
둘은 같습니다. 보안 업계의 다양한 업체에서는 이 변종 맬웨어에 대해 여러 가지 이름을 붙였습니다. NotPetya의 이름으로는 Petya 2.0, ExPetr, GoldenEye 등이 있습니다.
랜섬을 대가로 파일에 일시적으로 손상을 입히거나 액세스를 제한하는 대부분의 랜섬웨어와 달리 NotPetya는 순전히 파괴적인 것처럼 보였습니다. 이미 발생한 피해를 되돌릴 수 있는 방법이 없었으며, 파일을 복구할 수 있는 희망도 없이 완전히 삭제해버렸습니다.
여전히 랜섬 메시지를 표시했지만, 이 전술은 공격자의 의도를 위장하기 위해 사용되었을 수 있습니다. 또한 NotPetya 피해자가 랜섬을 지급하려고 해도 메시지에는 무작위로 생성된 가짜 비트코인 주소가 표시되었습니다. 공격자들이 랜섬을 받을 수 있는 방법이 없었으므로 NotPetya의 목표가 금전적 이득이 아니라 파괴에 있었다는 것을 알 수 있습니다.
실제 랜섬웨어는 처음부터 파일과 데이터를 완전히 지우도록 설계되지 않습니다. 일부 랜섬웨어 공격자는 랜섬을 지급하지 않으면 나중에 완전히 삭제하는 작업을 실행할 수 있지만, 파일과 데이터를 즉시 삭제하는 것은 파일을 되찾을 희망이 없으므로 피해자가 돈을 지급하도록 동기를 부여하지 않습니다. 대부분의 랜섬웨어 공격자의 동기는 피해자의 시스템에 지속적인 피해를 입히는 것이 아니라 금전입니다.
2016년 Petya 공격의 배후는 전형적인 랜섬웨어 사이버 범죄자들로 보였지만, 2018년 여러 국가에서 러시아 정부가 NotPetya 공격의 직접적 배후라고 발표했습니다. 이는 NotPetya 공격에 정치적 동기가 있었을 수 있음을 시사합니다.
다음 세 가지 단계는 Petya 또는 NotPetya 공격의 가능성을 줄이는 데 도움이 됩니다.
자세히 알아보려면 랜섬웨어 예방법을 참조하세요.
조직에서는 Cloudflare One을 채택할 수도 있습니다.Cloudflare One은 사용자가 필요한 리소스에 안전하게 연결할 수 있도록 지원하는 플랫폼입니다.Zero Trust 보안 접근 방식을 사용하는 Cloudflare One은 랜섬웨어 감염을 예방하고 억제하는 데 도움이 됩니다.