페트야

3. 작동 방식

페트야는 컴퓨터의 마스터 부트 레코드(MBR)를 감염시켜 윈도우 부트로더를 덮어쓰고 재시작을 유발한다. 재시작 시, NTFS 파일 시스템의 마스터 파일 테이블을 암호화한 다음 비트코인 지불을 요구하는 메시지를 표시한다.^[26][27] 이때 컴퓨터 화면에는 윈도우 파일 시스템 검사기인 chkdsk의 출력이 표시되는 것처럼 위장한다.^[5]

초기 페트야는 사용자에게 관리자 권한을 요구했다. 페트야 설치에 실패하면 Mischa라는 두 번째 페이로드가 활성화되는데, 이는 사용자 문서와 실행 파일을 암호화하는 일반적인 랜섬웨어로 관리자 권한이 필요하지 않았다. 초기 버전은 이메일에 첨부된 PDF 파일로 위장했다.

2017년 공격에 사용된 "NotPetya" 변종은 윈도우 서버 메시지 블록(SMB) 프로토콜의 취약점을 악용하는 익스플로잇인 EternalBlue를 사용했다.^[27] 이 악성코드는 Mimikatz를 수정하여 비밀번호를 수집하고, 동일 네트워크의 다른 컴퓨터로 전파하기 위해 다른 기술을 사용하며, PSExec과 함께 해당 비밀번호를 사용하여 다른 로컬 컴퓨터에서 코드를 실행했다.^[31][32] 또한, 랜섬웨어인 척하지만, 암호화 루틴이 수정되어 기술적으로 변경 사항을 되돌릴 수 없었다.^[33] 이러한 특징은 이 공격이 수익 창출이 아닌, 장치를 빠르게 손상시키려는 의도였다는 추측을 낳았다.^[35][36]

3. 1. 페트야

3. 2. NotPetya

4. 감염 방법 및 대상

페트야는 주로 문서 파일 등으로 위장한 파일을 통해 감염된다. 페트야는 자동으로 백그라운드에서 설치되며, 완료되면 운영체제(OS)가 재시동된다. OS 재시동 후에는 붉은색 배경의 해골 마크와 함께 300USD 상당의 비트코인으로 몸값을 지불할 것을 요구하는 화면이 나타난다.^{[74][75][76][77]}

2016년 3월에 처음 등장한 페트야는 우크라이나에서 시작하여 전 세계의 공공 단체, 기업, 대중교통, 은행 등으로 확산되었다.^[76] 감염된 컴퓨터의 대부분은 윈도우 7을 사용하고 있었다.^[82]

Avast!^[76], 총무성^[83][84], IPA^[74] 등은 페트야에 대한 주의를 촉구하고 있다.

5. EternalBlue

'''이터널블루(EternalBlue)'''는 미국 국가안보국이 개발한 익스플로잇 중 하나이다.^[78]

하지만, 어떤 해커 집단에 의해 악용 및 탈취되었다.^[79][80]

'''이터널블루'''는 컴퓨터 시스템 등의 취약점을 노려 공격하고 감염된다.^[78]

특히 워너크라이도 이터널블루를 이용한 사례 중 하나이다.^[81]

6. 피해 및 영향

백악관은 NotPetya로 인한 총 피해액을 100억 달러 이상으로 추산했다.^[47] 2017년 6월 27일에 시작된 공격으로 체르노빌 원자력 발전소의 방사선 감시 시스템이 작동을 멈췄고,^[48] 우크라이나의 여러 부처, 은행, 지하철 시스템 등이 피해를 입었다.^[52] 이는 역대 가장 파괴적인 사이버 공격으로 알려져 있다.^[49]

머스크(Maersk Line),^[50] 머크 앤 컴퍼니(Merck & Co.),^[6] 로스네프트(Rosneft),^[51] DLA 파이퍼(DLA Piper)^[52] 등 다국적 기업들도 피해를 입었다.

세계 최대의 컨테이너선 및 공급선 운영업체인 머스크의 사업 중단으로 인한 손실은 2억달러에서 3억달러 사이로 추산되었다.^[47][60] 페덱스는 2018년에 4억달러의 사업적 피해를 입었다.^[61]

옌스 스톨텐베르그 북대서양 조약 기구 사무총장은 사이버 공격이 집단 방위 조항(5조)을 발동시킬 수 있다고 경고했다.^[62][63]

7. 대응 및 반응

감염된 컴퓨터에서 가짜 chkdsk 화면이 나타날 때 즉시 컴퓨터를 끄면 암호화 과정을 막을 수 있다는 사실이 밝혀졌다.^[37] 한 보안 분석가는 윈도우 설치 디렉터리에 `perfc` 또는 `perfc.dat`라는 이름의 읽기 전용 파일을 만들면 현재 변종 페트야의 실행을 막을 수 있다고 제안했다.^{[38][39][40][41]}

마이크로소프트는 2017년 3월에 이미 EternalBlue 취약점을 해결하는 패치를 윈도우 지원 버전에 대해 출시했다. 워너크라이 사태의 여파로 2017년 5월에는 윈도우 XP와 같이 지원되지 않는 윈도우 버전에 대한 패치도 나왔다.^[44][45] ''와이어드(Wired)''는 "페트야가 일으킨 피해 규모를 보면, 많은 기업들이 랜섬웨어 확산의 명백하고 잠재적으로 파괴적인 위협에도 불구하고 패치를 미루고 있는 것으로 보인다"고 지적했다.^[46]

유럽연합 회원국에서 발생한 사이버 공격 보고에 대해 유럽연합 경찰기구(Europol)는 긴급 대응에 나섰다.^[66] 미국 국토안보부는 국제 및 지역 파트너와 협력하여 대응하고 있다고 밝혔다.^[6]

2018년 2월 15일, 트럼프 행정부는 러시아를 공격 배후로 지목하고 "국제적 결과"가 있을 것이라고 경고했다.^[70] 영국과 호주 정부도 비슷한 성명을 발표했다.^[71]

2020년 10월, 미국 법무부는 추가 GRU 장교들의 기소를 발표했다.^[72]

8. 기타 악성코드

• CIH (1998)
• 스턱스넷 (2010)
• 워너크라이 (2017)

참조

_[1] 간행물 The Untold Story of NotPetya, the Most Devastating Cyberattack in History https://www.wired.co[...] 2018-08-27
_[2] 간행물 Russia's 'Sandworm' Hackers Also Targeted Android Phones https://www.wired.co[...] 2020-03-26
_[3] 웹사이트 U.S., Canada, Australia Attribute NotPetya Attack to Russia {{!}} SecurityWeek.Com https://www.security[...] 2020-03-26
_[4] 웹사이트 Identifying vulnerabilities and protecting you from phishing https://blog.google/[...] 2020-03-26
_[5] 웹사이트 Decrypting the Petya Ransomware http://blog.checkpoi[...] 2017-06-27
_[6] 뉴스 Petya ransomware is now double the trouble http://www.networkwo[...] 2016-05-13
_[7] 웹사이트 Petya, Mischa, Goldeneye: Die Erpresser sind Nerds https://www.heise.de[...] Heise Online 2017-07-03
_[8] 웹사이트 На Дніпропетровщині викрили чоловіка, який розповсюджував вірус "Petya.A" http://dniprograd.or[...] 2018-09-07
_[9] 웹사이트 Регіональний "координатор" вірусу РЕТYА на Дніпропетровщині отримав один рік тюрми http://dniprograd.or[...] 2018-09-07
_[10] 웹사이트 Оголошено вирок у справі за фактами масштабних кібератак вірусу "PETYA" https://court.gov.ua[...] Judiciary of Ukraine 2018-09-07
_[11] 뉴스 Tax software blamed for cyber-attack spread https://www.bbc.com/[...] 2017-06-28
_[12] 뉴스 Cyberattack Hits Ukraine Then Spreads Internationally https://www.nytimes.[...] 2023-03-24
_[13] 뉴스 'Vaccine' created for huge cyber-attack https://www.bbc.com/[...] 2017-06-28
_[14] 뉴스 Рік після атаки вірусу Petya: що змінилося в кібербезпеці України https://www.radiosvo[...] 2024-03-28
_[15] 뉴스 Global ransomware attack causes chaos https://www.bbc.com/[...] 2017-06-27
_[16] 간행물 There's another 'worldwide' ransomware attack and it's spreading quickly https://www.wired.co[...] 2017-06-27
_[17] 뉴스 Microsoft, Analysts See Hack Origin at Ukrainian Software Firm https://www.bloomber[...] Bloomberg 2017-07-01
_[18] 뉴스 Family firm in Ukraine says it was not responsible for cyber attack https://www.reuters.[...] 2017-07-05
_[19] 뉴스 A new ransomware outbreak similar to WCry is shutting down computers worldwide https://arstechnica.[...] 2017-06-27
_[20] 뉴스 Global Ransomware Attack: What We Know and Don't Know https://www.nytimes.[...] 2017-06-28
_[21] 뉴스 Hackers who targeted Ukraine clean out bitcoin ransom wallet https://www.theguard[...] 2017-07-10
_[22] 뉴스 Backdoor built in to widely used tax app seeded last week's NotPetya outbreak https://arstechnica.[...] 2017-07-05
_[23] 뉴스 Ukrainian software company will face charges over cyber attack, police suggest http://www.abc.net.a[...] 2017-07-10
_[24] 뉴스 Ukraine scrambles to contain new cyber threat after 'NotPetya' attack https://www.reuters.[...] 2017-07-07
_[25] 뉴스 Кардаков запропонував створити громадянську кібероборону https://lb.ua/news/2[...] 2024-03-28
_[26] 웹사이트 New ransomware outbreak https://blog.kaspers[...] Kaspersky Lab 2017-06-27
_[27] 웹사이트 A new ransomware attack is hitting airlines, banks and utilities across Europe https://www.theverge[...] 2017-06-27
_[28] 웹사이트 MIFR-10130295 https://www.us-cert.[...] 2017-07-22
_[29] 웹사이트 NSA-leaking Shadow Brokers just dumped its most damaging release yet https://arstechnica.[...] 2017-05-13
_[30] 웹사이트 Everything you need to know about the Petya, er, NotPetya nasty trashing PCs worldwide https://www.theregis[...] 2019-07-31
_[31] 뉴스 India worst hit by Petya in APAC, 7th globally: Symantec http://economictimes[...] 2017-06-29
_[32] 웹사이트 Petya Ransomware Outbreak Originated in Ukraine via Tainted Accounting Software https://www.bleeping[...] BleepingComputer 2017-06-27
_[33] 웹사이트 Petya.2017 is a wiper not a ransomware https://web.archive.[...] 2017-06-29
_[34] 웹사이트 It's already too late for today's ransomware victims to pay up and save their computers https://www.theverge[...] 2017-06-28
_[35] 웹사이트 Tuesday's massive ransomware outbreak was, in fact, something much worse https://arstechnica.[...] 2017-06-28
_[36] 뉴스 Cyber-attack was about data and not money, say experts https://www.bbc.com/[...] 2017-06-29
_[37] 웹사이트 'Petya' ransomware attack: what is it and how can it be stopped? https://www.theguard[...] 2017-06-28
_[38] 뉴스 Vaccine, not Killswitch, Found for Petya (NotPetya) Ransomware Outbreak https://www.bleeping[...] 2017-06-27
_[39] 웹사이트 Petya ransomware: Experts tout 'vaccine' to protect computers from crippling cyber attack https://www.foxnews.[...] 2017-06-28
_[40] 뉴스 Security researcher creates 'vaccine' against ransomware attack https://www.telegrap[...] 2017-06-28
_[41] 웹사이트 'Vaccine' created for huge cyber-attack https://www.bbc.co.u[...] 2017-06-28
_[42] Tweet Victims keep sending money to Petya, but will not get their files back: No way to contact the attackers, as their email address was killed.
_[43] 웹사이트 Analyzed: Internet Propagation and Recovery of Non-NTFS Victims https://blog.alertlo[...] Fortra 2017-07-26
_[44] 뉴스 Six quick facts to know about today's global ransomware attack https://www.zdnet.co[...] 2017-06-27
_[45] 웹사이트 Microsoft issues 'highly unusual' Windows XP patch to prevent massive ransomware attack https://www.theverge[...] Vox Media 2017-05-13
_[46] 간행물 A Scary New Ransomware Outbreak Uses WannaCry's Old Tricks https://www.wired.co[...] 2017-06-27
_[47] 간행물 The Untold Story of NotPetya, the Most Devastating Cyberattack in History https://www.wired.co[...] 2018-08-22
_[48] 뉴스 Chernobyl's radiation monitoring system has been hit by the worldwide cyber attack https://www.independ[...] 2017-06-27
_[49] 뉴스 US, UK say Russia behind 'most destructive' cyberattack ever https://www.cnet.com[...] 2018-02-15
_[50] 뉴스 'Petya' Cyberattack Cripples Ukraine, And Experts Say It's Spreading Globally https://www.npr.org/[...] NPR 2017-06-27
_[51] 뉴스 Russia's Rosneft says hit by cyber attack, oil production unaffected https://www.reuters.[...] 2017-06-27
_[52] 뉴스 New Cyberattack Spreads in Europe, Russia and U.S. https://www.nytimes.[...] 2017-06-27
_[53] 뉴스 Ehituse ABC sulges küberrünnaku tõttu kõik oma poed http://majandus24.po[...] 2017-06-28
_[54] 뉴스 Dettol maker Reckitt Benckiser warns revenue will be hit as it cleans up Petya cyber attack https://www.telegrap[...] 2017-07-06
_[55] 뉴스 Hackerangriff: Beiersdorf & Co hart getroffen https://web.archive.[...] 2017-07-06
_[56] 뉴스 'Petya' ransomware attack strikes companies across Europe and US https://www.theguard[...] 2017-06-27
_[57] 뉴스 Petya cyberattack: Hobart's Cadbury chocolate factory struck http://www.theaustra[...]
_[58] 뉴스 New malware hits JNPT operations as APM Terminals hacked globally http://indianexpress[...] 2017-06-27
_[59] 뉴스 Business News: Hospital Is Forced To Scrap Computers https://www.wsj.com/[...] 2017-06-30
_[60] 웹사이트 Petya ransomware: Cyberattack costs could hit $300m for shipping giant Maersk https://www.zdnet.co[...] 2017-08-16
_[61] 보고서 2019 Annual Report https://s21.q4cdn.co[...] FedEx Corporation
_[62] 뉴스 Overnight Cybersecurity: New questions about 'ransomware' attack—Tensions between NSA chief, Trump over Russia—Senate panel asks states to publicize election hacks https://thehill.com/[...] 2017-06-28
_[63] 뉴스 NATO Warns Use of Article 5 Over Cyber Attack, Members Pledge Spending Increase https://www.haaretz.[...] 2017-06-28
_[64] 뉴스 Cyber-insurance shock: Zurich refuses to foot NotPetya ransomware clean-up bill—and claims it's 'an act of war' https://www.theregis[...] 2019-01-11
_[65] 뉴스 Mondelēz settlement in NotPetya case renews concerns about cyber insurance coverage https://www.cybersec[...] 2022-11-08
_[66] 웹사이트 New Cyberattack Goes Global, Hits WPP, Rosneft, Maersk https://www.bloomber[...] 2017-06-27
_[67] 웹사이트 Letter to NSA director https://lieu.house.g[...] House
_[68] 웹사이트 In aftermath of Petya, congressman asks NSA to stop the attack if it knows how https://techcrunch.c[...] 2017-06-28
_[69] 뉴스 New computer virus spreads from Ukraine to disrupt world business https://www.reuters.[...] 2017-06-27
_[70] 뉴스 Trump admin blames Russia for massive global cyberattack https://thehill.com/[...] 2018-02-15
_[71] 뉴스 US, UK, Australia Warn Russia of "International Consequences" - NotPetya Outbreak Attributed to the Kremlin https://wccftech.com[...] WCCF Tech 2023-03-24
_[72] 간행물 Six Russian GRU Officers Charged in Connection with Worldwide Deployment of Destructive Malware and Other Disruptive Actions in Cyberspace https://www.justice.[...] U.S. Department of Justice 2020-10-20
_[73] 간행물 UK exposes series of Russian cyber attacks against Olympic and Paralympic Games https://www.gov.uk/g[...] Foreign, Commonwealth & Development Office 2020-10-20
_[74] 웹사이트 更新：感染が拡大中のランサムウェアの対策について：IPA 独立行政法人 情報処理推進機構 https://www.ipa.go.j[...] 2021-10-10
_[75] 웹사이트 【世界規模のランサムウェア攻撃 Petya】WannaCry との違いと脅威について {{!}} BackStore Blog https://www.backstor[...] 2021-10-12
_[76] 웹사이트 Petyaランサムウェア｜アバスト https://www.avast.co[...] 2021-10-10
_[77] 웹사이트 ランサムウェア Petya に感染してみました。 {{!}} (n)inja csirt http://csirt.ninja/?[...] 2024-06-18
_[78] 웹사이트 エターナルブルーとは？脆弱性を悪用する仕組みや対策について徹底解説 https://cybersecurit[...] 2021-10-13
_[79] 웹사이트 ランサムウェア「WannaCry」を拡散させた攻撃ツール「EternalBlue」は順調に拡散している https://gigazine.net[...] 2021-10-13
_[80] 웹사이트 WannaCryptorの大流行以降も進化を続けるEternalBlue https://www.eset.com[...] 2021-10-13
_[81] 웹사이트 Windowsの脆弱性を突く「EternalBlue」攻撃の基本的な防ぎ方 https://japan.zdnet.[...] 2021-10-13
_[82] 웹사이트 Petya ランサムウェア攻撃に対する Windows 10 プラットフォームのレジリエンス – Microsoft Security Response Center https://msrc-blog.mi[...] 2021-10-13
_[83] 웹사이트 総務省、ランサムウェア「Petya」に注意喚起 海外で大規模な被害 https://www.itmedia.[...] 2021-10-10
_[84] 웹사이트 総務省｜世界的な不正プログラムの感染被害について（注意喚起）【更新】 https://www.soumu.go[...] 2021-10-13
_[85] 웹사이트 "[注意] ランサムウェア「Petya」の亜種が拡散中" https://appcheck.jp/[...] 2021-10-12
_[86] 웹사이트 MBR破壊型ランサムウェアの特徴比較 {{!}} 技術者ブログ {{!}} 三井物産セキュアディレクション株式会社 https://www.mbsd.jp/[...] 2024-06-18
_[87] 문서 https://ascii.jp/ele[...]
_[88] 웹인용 Decrypting the Petya Ransomware http://blog.checkpoi[...] 2017-06-27
_[89] 뉴스 The Untold Story of NotPetya, the Most Devastating Cyberattack in History https://www.wired.co[...] Wired 2018-08-27