Petya 랜섬웨어

WannaCry의 뒤를 바짝 쫓아서 Petya라는 새로운 랜섬웨어가 전 세계를 휩쓸며 에너지, 은행, 교통 시스템 등의 중요 인프라를 비롯한 다양한 산업과 기관에 피해를 입히기 시작했습니다. FortiGuard Labs는 Petya를 단순히 새로운 버전의 랜섬웨어가 아니라 새로운 다중 벡터 랜섬웨어 공격의 물결이 시작되었음을 의미한다고 생각합니다. Fortinet은 이를 일컬어 “랜섬웜”이라고 부릅니다. 이러한 랜섬웜은 여러 개의 익스플로잇을 그때 그때 활용합니다. 또한, 이 랜섬웜은 한 장소에 머물거나 최종 사용자의 행동을 요구하는 대신 스스로 여러 시스템을 빠르게 옮겨다니도록 설계되었습니다.

이런 공격 유형은 단일 조직에 초점을 맞추지 않고 하나 이상의 취약성을 익스플로잇하면서 최대한 많은 장치를 대상으로 광범위하게 접근하는 방식을 취합니다. 이 경우, Microsoft Office 취약성을 익스플로잇하는 Excel 문서를 배포하면서 공격이 시작되는 듯이 보입니다. 그러나 추가 공격 벡터(예: Windows Management WMIC를 통한 전달)를 사용하기 때문에 패치만으로는 이 랜섬웜을 완벽히 차단할 수 없습니다. 즉, 패칭에 더해 우수한 보안 도구와 조치가 필요합니다.

WannaCry 익스플로잇의 뒤를 잇는 새로운 랜섬웜

WannaCry 익스플로잇의 뒤를 잇는 새로운 랜섬웜

지금 알아보기
Mapping The Ransomware Landscape

Mapping The Ransomware Landscape

자세히 읽기
Petya의 영향 및 공격 방지 방법

Petya의 영향 및 공격 방지 방법

지금 확인하기

Fortinet 보안 패브릭은 여러 가지 자동화된 통합 수단으로 이 랜섬웜을 완벽히 차단할 수 없습니다. 종합적 보호를 제공합니다. 여기에는 자동 침입 탐지/방지(IPS/IDS), 멀웨어 방어(안티바이러스), 수상한 코드 실시간 분석(FortiSandbox), 자동 정보 공유 등이 포함됩니다.

올해 초 Microsoft에서 익스플로잇된 취약성 중 하나에 대해 패치를 공개하였으므로 각 기관에서는 즉시 시스템을 업데이트해주시기 바랍니다. 오래된 레거시 시스템과 중요 인프라는 이 공격에 특히 취약합니다. 그러나 공격 벡터가 여러 개이기 때문에 추가적인 보안 조치가 필요합니다.  

보안 권장 사항:

이 멀웨어를 방어하고자 하는 조직은 다음과 같은 조치를 취하는 것이 좋습니다.

IT 부서

  • 중요한 시스템 파일을 백업하고 백업을 오프라인에 보관
  • ‘표준’ 운영 체제 디스크 및 구성을 준비하여 자신감 있게 데스크톱 재구성
  • 패치
  • 패치가 최신인지 확인

사용자

  • 출처를 알 수 없는 첨부파일은 실행하지 않기

보안 운영

  • 서명 및 AV 푸시
  • 첨부파일에 샌드박스 적용
  • 행동 기반 탐지 사용
  • 방화벽에서 Command & Control 세그먼트의 증거를 찾아서
  • 멀웨어 확산을 억제하고 백업 데이터 암호화 방지
  • 원격 데스크톱 프로토콜이 꺼져 있는지 확인하고, 제대로 인증되어 있지 않을 경우 횡적 이동 기능 제한

일반 지침

  • 랜섬웨어에 감염되면 랜섬을 지불하지 마십시오.
  • 신뢰할 수 있는 기관에 침입 사실을 공유하고 진단, 억제, 복구 업데이트를 위한 전체 커뮤니티 활동을 지원하십시오.


랜섬웨어에 관한 자세한 정보는 Petya 중앙 콘텐츠 허브를 참조하세요.

랜섬웨어를 차단하는 Fortinet 솔루션에 관한 자세한 정보는 엔터프라이즈 솔루션 페이지를 참조하세요.