2024 | 03 | 28
10.8℃
코스피 2,745.82 9.29(-0.34%)
코스닥 910.05 1.2(-0.13%)
USD$ 1350.5 -0.5
EUR€ 1457.2 -5.6
JPY¥ 892.0 -0.7
CNY¥ 185.9 -0.3
BTC 100,571,000 649,000(0.65%)
ETH 5,092,000 1,000(0.02%)
XRP 885.3 1.3(-0.15%)
BCH 812,800 106,500(15.08%)
EOS 1,512 9(-0.59%)
  • 공유

  • 인쇄

  • 텍스트 축소
  • 확대
  • url
    복사

파이어아이, 전세계 10개국 강타 ‘페트야’ 랜섬웨어 주의 당부

  • 송고 2017.06.28 15:08 | 수정 2017.06.28 15:08
  • 김언한 기자 (unhankim@ebn.co.kr)

‘이터널블루 익스플로잇’ 통한 확산 추정

워너크라이 공격 방식과 유사

‘페트야’ 랜섬웨어 감염화면.ⓒ

‘페트야’ 랜섬웨어 감염화면.ⓒ


파이어아이는 지난 27일 미국, 아시아 및 유럽 지역의 10개 국가를 강타한 ‘페트야’ 랜섬웨어에 대한 주의가 필요하다고 28일 밝혔다.

이번 페트야 렌섬웨어는 호주, 미국, 폴란드, 네덜란드, 노르웨이, 러시아, 우크라이나, 인도, 덴마크 및 스페인을 포함한 총 10개 국가에서 탐지됐다. 현재까지 알려진 초기 정보에 의하면, 주범인 페트야 랜섬웨어의 변종은 지난달 발생한 워너크라이(WannaCry) 공격에 사용되었던 이터널블루(EternalBlue) 익스플로잇을 통해 확산되고 있는 것으로 추정된다.

최초의 감염 벡터는 우크라이나의 많은 기업들이 사용하고 있는 소프트웨어 패키지 메독(MeDoc) 소프트웨어 제품군의 업데이트를 악용해 공격을 감행한 것으로 보인다. 메독 업데이트 발표된 시간과 이번 랜섬웨어 공격이 최초로 보고된 시간이 일치하는데, 이 타이밍은 파이어아이가 10:12(UTC)경에 한 피해자의 네트워크에서 발견한 ‘PSExec’을 통한 내부 확산과도 관련이 있다.

또한, 현재 메독 회사 홈페이지에는 “자사 서버가 바이러스 공격을 받고 있으며, 불편을 드려 죄송합니다”는 내용의 메시지가 표시돼있다.

파이어아이는 피해자의 네트워크에서 얻은 증거물과 네트워크 트래픽을 분석한 결과, 이터널블루 SMB 익스플로잇의 수정된 버전이 적어도 부분적으로 이 공격에 사용됐으며, 이와 함께 WMI 명령어, MimiKatz 및 PSExec가 다른 내부 시스템들로 측면 유포되는데 사용됐다고 밝혔다.

파이어아이는 이 공격과 관련된 증거를 현재 분석 중이며, 새로운 정보가 나오는 대로 파이어아이 블로그에 업데이트할 예정이다.

현재 파이어아이는 커뮤니티 보호령(Community Protection Event)를 발동 중이며 보고된 내용 및 이 사고와 관련된 위협 활동에 대해 지속적으로 조사할 것이라고 밝혔다. 서비스로형 파이어아이(FaaS)는 고객의 환경을 적극적으로 모니터링하고 있다.

전수홍 파이어아이코리아 지사장은 “이번 페트야 사태는 다시 한번 사이버 공격을 방어하기 위해서는 선제적인 대응이 필요하다는 것을 잘 보여준다”며 “강력한 백업 전략, 적절한 네트워크 세분화 및 망 분리(air gapping) 및 랜섬웨어에 대한 기타 보안 조치는 랜섬웨어로부터 조직을 방어하고, 신속하게 피해를 복구하는 데 도움을 줄 수 있다”고 말했다.


©(주) EBN 무단전재 및 재배포 금지

전체 댓글 0

로그인 후 댓글을 작성하실 수 있습니다.

시황

코스피

코스닥

환율

KOSPI 2,745.82 9.29(-0.34)

코인시세

비트코인

이더리움

리플

비트코인캐시

이오스

시세제공

업비트

03.28 21:44

100,571,000

▲ 649,000 (0.65%)

빗썸

03.28 21:44

100,476,000

▲ 475,000 (0.47%)

코빗

03.28 21:44

100,486,000

▲ 500,000 (0.5%)

등락률 : 24시간 기준 (단위: 원)

서울미디어홀딩스

패밀리미디어 실시간 뉴스

EBN 미래를 보는 경제신문