‘이터널블루 익스플로잇’ 통한 확산 추정
워너크라이 공격 방식과 유사
파이어아이는 지난 27일 미국, 아시아 및 유럽 지역의 10개 국가를 강타한 ‘페트야’ 랜섬웨어에 대한 주의가 필요하다고 28일 밝혔다.
이번 페트야 렌섬웨어는 호주, 미국, 폴란드, 네덜란드, 노르웨이, 러시아, 우크라이나, 인도, 덴마크 및 스페인을 포함한 총 10개 국가에서 탐지됐다. 현재까지 알려진 초기 정보에 의하면, 주범인 페트야 랜섬웨어의 변종은 지난달 발생한 워너크라이(WannaCry) 공격에 사용되었던 이터널블루(EternalBlue) 익스플로잇을 통해 확산되고 있는 것으로 추정된다.
최초의 감염 벡터는 우크라이나의 많은 기업들이 사용하고 있는 소프트웨어 패키지 메독(MeDoc) 소프트웨어 제품군의 업데이트를 악용해 공격을 감행한 것으로 보인다. 메독 업데이트 발표된 시간과 이번 랜섬웨어 공격이 최초로 보고된 시간이 일치하는데, 이 타이밍은 파이어아이가 10:12(UTC)경에 한 피해자의 네트워크에서 발견한 ‘PSExec’을 통한 내부 확산과도 관련이 있다.
또한, 현재 메독 회사 홈페이지에는 “자사 서버가 바이러스 공격을 받고 있으며, 불편을 드려 죄송합니다”는 내용의 메시지가 표시돼있다.
파이어아이는 피해자의 네트워크에서 얻은 증거물과 네트워크 트래픽을 분석한 결과, 이터널블루 SMB 익스플로잇의 수정된 버전이 적어도 부분적으로 이 공격에 사용됐으며, 이와 함께 WMI 명령어, MimiKatz 및 PSExec가 다른 내부 시스템들로 측면 유포되는데 사용됐다고 밝혔다.
파이어아이는 이 공격과 관련된 증거를 현재 분석 중이며, 새로운 정보가 나오는 대로 파이어아이 블로그에 업데이트할 예정이다.
현재 파이어아이는 커뮤니티 보호령(Community Protection Event)를 발동 중이며 보고된 내용 및 이 사고와 관련된 위협 활동에 대해 지속적으로 조사할 것이라고 밝혔다. 서비스로형 파이어아이(FaaS)는 고객의 환경을 적극적으로 모니터링하고 있다.
전수홍 파이어아이코리아 지사장은 “이번 페트야 사태는 다시 한번 사이버 공격을 방어하기 위해서는 선제적인 대응이 필요하다는 것을 잘 보여준다”며 “강력한 백업 전략, 적절한 네트워크 세분화 및 망 분리(air gapping) 및 랜섬웨어에 대한 기타 보안 조치는 랜섬웨어로부터 조직을 방어하고, 신속하게 피해를 복구하는 데 도움을 줄 수 있다”고 말했다.
©(주) EBN 무단전재 및 재배포 금지
서울미디어홀딩스
패밀리미디어 실시간 뉴스