2017.03.16

“기업 대상으로 표적형 공격을 전개하는 새로운 랜섬웨어 '페트랩' 등장”…카스퍼스키랩

편집부 | ITWorld
최근 카스퍼스키랩은 신종 랜섬웨어 페트랩(PetrWrap)을 발견했다고 밝혔다. 페트랩은 랜섬웨어 서비스(RaaS) 플랫폼을 통해 유포되는 페트야(Petya)라는 랜섬웨어 모듈을 활용해 조직을 대상으로 표적형 공격을 수행한다.

페트랩의 개발자들은 기존의 페트야 랜섬웨어를 변경하는 특수 모듈을 만들어냈고, 페트야의 개발자들은 페트야의 무단 사용에도 속수무책으로 당할 수 밖에 없는 상황이라고 업체 측은 설명했다. 이는 지하 랜섬웨어 시장이 치열해지고 있다는 반증으로 보인다.

카스퍼스키랩은 2016년 5월에 페트야 랜섬웨어를 발견했다. 이 랜섬웨어는 컴퓨터에 저장된 데이터를 암호화할 뿐 아니라, 하드 디스크 드라이브의 마스터 부트 레코드(MBR)를 덮어쓰기 때문에 감염된 컴퓨터는 운영체제를 부팅할 수조차 없는 상태가 된다. 랜섬웨어 서비스 모델 중 주목할 사례로 꼽히는 이 악성코드는 랜섬웨어 개발자들이 주문형 랜섬웨어를 제공하면 여러 유통자들이 이를 유통하고 수익의 일부를 받는 구조로 되어 있다.

개발 영역에 대한 수익을 보호하기 위해 페트야 개발자들은 페트야 내에 특정 ‘보호 메커니즘’을 입력해 랜섬웨어의 무단 사용을 막고 있다. 그러나 2017년 초에 처음으로 탐지된 페트랩 트로이목마의 개발자들은 기존 페트야의 보호 메커니즘을 뚫고 원 개발자에게 대가를 지불하지 않고도 페트야 랜섬웨어를 활용할 수 있는 방법을 찾아냈다.

아직 페트랩의 유통 경로는 확실히 밝혀진 바가 없다고 업체 측은 밝혔다. 페트랩은 컴퓨터에 침투한 후 페트야를 실행해 피해자의 데이터를 암호화하고 대가를 요구하는데, 패트랩의 개발자들은 본래 페트야에 딸린 암호화 키 대신 자체 제작한 개인 및 공개 암호화 키를 사용한다. 즉, 피해자가 대가를 지불할 경우 페트야 개발자로부터 개인키를 받지 않고서도 페트랩 측에서 컴퓨터를 복구할 수 있는 것이다.

카스퍼스키랩의 보안 전문가들은 이러한 사이버 공격을 막기 위해 데이터 유실 시 파일을 복구할 수 있도록 정기적으로 적절한 방식으로 데이터 백업을 수행하고, 행동 기반 탐지 기술이 있는 보안 솔루션을 사용하라고 권고했다. 행동 기반 탐지 기술은 시스템 내에서 랜섬웨어 및 악성 코드가 행동하는 방식을 감시해 감염 사실을 탐지하며, 이를 통해 알려지지 않은 랜섬웨어나 신종 랜섬웨어를 탐지할 수 있기 때문이다.

보안 취약점 파악 및 해결을 위한 제어 네트워크의 보안 평가(보안 감사, 침투 테스트, 갭 분석 등)를 수행하고, 신뢰할 수 있는 외부 공급업체의 보안 인텔리전스를 통해 기업에서 사이버 공격을 예측할 수 있도록 해야한다고 업체 측은 설명했다.

또한 카스퍼스키랩은 사내 직원 교육을 실시하고, 내부 보호에 주의를 기울이고 외부 방어벽을 구축한다. 기업의 핵심적인 요소가 공격받기 전에 차단하려면 공격을 탐지하고 신속하고 대응하는 데 주력하는 보안 전략을 세워야 한다고 밝혔다. editor@itworld.co.kr


2017.03.16

“기업 대상으로 표적형 공격을 전개하는 새로운 랜섬웨어 '페트랩' 등장”…카스퍼스키랩

편집부 | ITWorld
최근 카스퍼스키랩은 신종 랜섬웨어 페트랩(PetrWrap)을 발견했다고 밝혔다. 페트랩은 랜섬웨어 서비스(RaaS) 플랫폼을 통해 유포되는 페트야(Petya)라는 랜섬웨어 모듈을 활용해 조직을 대상으로 표적형 공격을 수행한다.

페트랩의 개발자들은 기존의 페트야 랜섬웨어를 변경하는 특수 모듈을 만들어냈고, 페트야의 개발자들은 페트야의 무단 사용에도 속수무책으로 당할 수 밖에 없는 상황이라고 업체 측은 설명했다. 이는 지하 랜섬웨어 시장이 치열해지고 있다는 반증으로 보인다.

카스퍼스키랩은 2016년 5월에 페트야 랜섬웨어를 발견했다. 이 랜섬웨어는 컴퓨터에 저장된 데이터를 암호화할 뿐 아니라, 하드 디스크 드라이브의 마스터 부트 레코드(MBR)를 덮어쓰기 때문에 감염된 컴퓨터는 운영체제를 부팅할 수조차 없는 상태가 된다. 랜섬웨어 서비스 모델 중 주목할 사례로 꼽히는 이 악성코드는 랜섬웨어 개발자들이 주문형 랜섬웨어를 제공하면 여러 유통자들이 이를 유통하고 수익의 일부를 받는 구조로 되어 있다.

개발 영역에 대한 수익을 보호하기 위해 페트야 개발자들은 페트야 내에 특정 ‘보호 메커니즘’을 입력해 랜섬웨어의 무단 사용을 막고 있다. 그러나 2017년 초에 처음으로 탐지된 페트랩 트로이목마의 개발자들은 기존 페트야의 보호 메커니즘을 뚫고 원 개발자에게 대가를 지불하지 않고도 페트야 랜섬웨어를 활용할 수 있는 방법을 찾아냈다.

아직 페트랩의 유통 경로는 확실히 밝혀진 바가 없다고 업체 측은 밝혔다. 페트랩은 컴퓨터에 침투한 후 페트야를 실행해 피해자의 데이터를 암호화하고 대가를 요구하는데, 패트랩의 개발자들은 본래 페트야에 딸린 암호화 키 대신 자체 제작한 개인 및 공개 암호화 키를 사용한다. 즉, 피해자가 대가를 지불할 경우 페트야 개발자로부터 개인키를 받지 않고서도 페트랩 측에서 컴퓨터를 복구할 수 있는 것이다.

카스퍼스키랩의 보안 전문가들은 이러한 사이버 공격을 막기 위해 데이터 유실 시 파일을 복구할 수 있도록 정기적으로 적절한 방식으로 데이터 백업을 수행하고, 행동 기반 탐지 기술이 있는 보안 솔루션을 사용하라고 권고했다. 행동 기반 탐지 기술은 시스템 내에서 랜섬웨어 및 악성 코드가 행동하는 방식을 감시해 감염 사실을 탐지하며, 이를 통해 알려지지 않은 랜섬웨어나 신종 랜섬웨어를 탐지할 수 있기 때문이다.

보안 취약점 파악 및 해결을 위한 제어 네트워크의 보안 평가(보안 감사, 침투 테스트, 갭 분석 등)를 수행하고, 신뢰할 수 있는 외부 공급업체의 보안 인텔리전스를 통해 기업에서 사이버 공격을 예측할 수 있도록 해야한다고 업체 측은 설명했다.

또한 카스퍼스키랩은 사내 직원 교육을 실시하고, 내부 보호에 주의를 기울이고 외부 방어벽을 구축한다. 기업의 핵심적인 요소가 공격받기 전에 차단하려면 공격을 탐지하고 신속하고 대응하는 데 주력하는 보안 전략을 세워야 한다고 밝혔다. editor@itworld.co.kr


X