포티넷코리아(지사장 조현제)는 전세계를 강타하고 있는 새로운 랜섬웨어 변종인 '페트야(Petya)'에 대비하여 즉각적인 조치를 취할 것을 권고했다. 페트야 랜섬웨어는 현재 에너지, 은행, 운송 시스템과 같은 중요 인프라를 포함한 산업 및 조직에 광범위한 피해를 주고 있다.
'페트야'는 랜섬 웜(ransom worm)으로 불리우는 다중-벡터 랜섬웨어 공격의 새로운 변종으로 시기 적절하게 공격을 감행한다. 이 랜섬 웜은 한 곳에서 머물지 않고, 자동으로 여러 시스템으로 이동하도록 설계되어 있다. 페트야 랜섬 웜은 최근 발생한 워너크라이(Wannacry) 공격에 악용된 취약점과 비슷한 취약점을 이용하는 것으로 보인다.
그러나 컴퓨터의 파일을 암호화하는 워너크라이(WannaCry)와 달리, 페트야 랜섬웜은 전체 컴퓨터가 작동하지 않도록 하드드라이브 세그먼트를 암호화한다. 오래된 레거시 시스템과 핵심 인프라가 이 공격에 특히 취약하다.
회사 및 개인 사용자에게 아래와 같은 조치를 권고한다.
IT 부서
- 중요 시스템의 파일을 백업하고, 백업 데이터는 오프라인 상태로 유지해야 한다.
- 운영 시스템 디스크 및 설정에 대한 '최고 수준의 보안(gold standard)'를 확인하고 명확한 기준 하에 데스크탑을 재구성해야 한다.
- 패치를 설치한다.
- 패치가 최신 버전인지 확인한다.
사용자
- 알 수 없는 출처의 첨부 파일을 실행해서는 안된다.
보안 운영
- 시그니처 및 안티바이러스를 실행한다.
- 샌드박스를 이용하여 첨부 파일 위험 분석 검사를 실행한다.
- 행동 기반 탐지 기능을 실행한다.
- 방화벽 로그에서 명령 제어(Command & Control)의 침해 흔적을 찾는다.
- 멀웨어의 확산 및 백업 데이터의 암호화를 제한하기 위해 네트워크 망 분리(Segment)을 실행한다.
- 원격 데스크톱 프로토콜(Remote Desktop Protocol)이 비활성화 되어 있는지 확인하고, RDP를 사용할 경우 적절히 사용자 인증되는지도 확인한다. 그렇지 않은 경우, 이 프로토콜이 네트워크를 통해서 전파하지 못하도록 기능을 제한한다.
일반 사항
- 감염된 경우, 요구하는 돈을 지불하지 않는다.
- 신뢰할 수 있는 조직에게 침입 사실을 알리고, 공격에 대한 진단, 억제, 해결을 돕는 커뮤니티를 적극 지원해야 한다.
포티넷 보안 패브릭은 통합 및 자동화된 수단으로 페트야(Petya) 랜섬웜에 맞선 종합적인 보호 장치를 제공하고 있다. 예를 들어, 자동 침입 탐지(IPS/IDS), 침입 방지(바이러스 백신), 의심스러운 코드에 대한 실시간 분석(FortiSandbox) 및 자동 정보 공유 등이 대표적이다. 워너크라이(WannaCry)와 마찬가지로, 포티넷 제품을 사용하는 고객들은 관련 시그니처(signature)가 이미 업데이트되어 있기 때문에, ATP 기능 및 최신 시그니처(signature)를 업데이트 해왔다면 안전한 방어가 가능하다.
또한 포티넷은 자사의 연구 기관인 포티가드랩에서 페트야 랜섬웜을 탐지하고 있으며, 즉각적으로 새로운 대응책을 업데이트하고 있다.
