HybridPetya Ransomware

디지털 세계는 사용자와 조직을 악용하기 위해 끊임없이 도구를 개선하는 사이버 범죄자들의 끊임없는 공격에 시달리고 있습니다. 가장 우려되는 위협 중 하나는 파일을 암호화할 뿐만 아니라 시스템 수준 구성 요소를 공격하여 피해를 극대화하는 랜섬웨어 계열입니다. HybridPetya 랜섬웨어는 Petya와 NotPetya의 기능을 혼합하는 동시에 위험한 새로운 기능을 추가한 이러한 진화의 대표적인 사례입니다.

HybridPetya를 독특하게 만드는 것

운영 체제가 로드된 후에 활성화되는 일반적인 랜섬웨어와 달리, HybridPetya는 더욱 파괴적인 접근 방식을 취합니다. 취약한 시스템의 UEFI 보안 부팅 보호 기능을 우회하여 CVE-2024-7344로 식별된 취약점을 악용합니다. 이를 통해 운영 체제가 시작되기도 전에 악성 작업을 시작하여 시스템에 대한 강력한 기반을 확보합니다.

HybridPetya는 활성화되면 NTFS 파티션의 필수 시스템 파일을 암호화합니다. 이 과정을 위장하기 위해 가짜 CHKDSK 화면을 표시하여 피해자가 시스템이 정상적으로 유지 관리되고 있다고 믿게 합니다. 암호화가 완료되면 피해자는 간단한 복구 방법 없이 중요한 데이터에 접근할 수 없게 됩니다.

몸값 요구서와 공격자들의 요구

암호화 후, HybridPetya는 모든 중요 파일이 잠겼다는 내용의 랜섬웨어를 배포합니다. 랜섬웨어는 공격자의 복호화 서비스 없이는 복구 시도가 실패할 것이라고 피해자에게 경고합니다. 랜섬웨어는 1,000달러의 비트코인을 지불하고, 지갑 ID와 개인 설치 키가 포함된 이메일을 'wowsmith123457@proton.me'로 보내라고 요구합니다.

이 메모에는 피해자가 구매한 복호화 키를 입력할 수 있는 필드도 포함되어 있습니다. 하지만 대부분의 랜섬웨어 공격과 마찬가지로, 돈을 지불한다고 해서 파일이 복구된다는 보장은 없습니다. 많은 경우, 공격자는 돈을 지불한 후 사라져 피해자는 돈과 데이터를 모두 잃게 됩니다.

HybridPetya가 확산되는 방식

HybridPetya는 감염을 극대화하기 위해 다양한 유통 채널을 활용합니다. 다음을 통해 확산될 수 있습니다.

• CVE-2024-7344와 같은 취약점을 악용했습니다.
• 악성 첨부 파일이나 링크가 포함된 피싱 이메일.
• 악성 소프트웨어와 함께 제공되는 불법 복제 소프트웨어, 크랙 및 키젠.
• 드라이브바이 다운로드를 유발하는 손상된 웹사이트와 악성 광고.
• USB 드라이브 및 외장 디스크와 같은 이동식 장치가 감염되었습니다.
• P2P 네트워크와 신뢰할 수 없는 다운로드 포털.

사이버 범죄자들은 종종 실행 파일, 압축 파일, 또는 문서 파일(예: Word 또는 PDF)에 페이로드를 위장합니다. 사용자는 이러한 파일을 열거나 매크로/스크립트를 활성화하여 자신도 모르게 감염을 유발합니다.

회복 과제와 지불이 실수인 이유

HybridPetya로 암호화된 파일은 공격자의 개인 복호화 도구 없이는 일반적으로 복구할 수 없습니다. 타사 솔루션이 가끔 등장하지만, 드물고 효과가 보장되지는 않습니다. 가장 안정적인 복구 방법은 감염 전에 안전하게 백업해 두는 것입니다.

몸값을 지불하는 것은 강력히 권장되지 않습니다. 범죄자들이 약속을 지킬 것이라는 확신이 없을 뿐만 아니라, 몸값을 지불하면 향후 공격에 자금을 지원하여 추가 공격을 부추길 수 있습니다. 추가 피해와 네트워크 전체 확산을 방지하기 위해 시스템에서 HybridPetya를 제거하는 것이 필수적입니다.

보호를 유지하기 위한 모범 사례

랜섬웨어에 대한 강력한 방어 체계를 구축하려면 사전 예방 조치와 일관된 사이버 보안 위생 관리가 필요합니다. 다음 사항을 준수하면 감염 가능성을 크게 줄일 수 있습니다.

정기적 백업 – 범죄자에 의존하지 않고도 복구가 가능하도록 버전 관리를 활성화하여 오프라인 또는 클라우드 기반 백업을 유지하세요.

시스템 패치 및 업데이트 – 운영 체제 및 펌웨어 업데이트를 신속하게 적용하세요. HybridPetya는 CVE-2024-7344와 같이 패치되지 않은 취약점을 악용하므로 시기적절한 패치 적용이 매우 중요합니다.

신뢰할 수 있는 보안 소프트웨어 사용 – 실시간 보호 기능을 제공하는 평판 좋은 바이러스 백신 및 랜섬웨어 방지 솔루션을 설치하고 유지 관리하세요.

이메일 사용 시 주의하세요 . 알려진 발신자가 보낸 것처럼 보이더라도 예상치 못한 첨부 파일을 열거나 링크를 클릭하지 마세요.

불법 복제 콘텐츠에 접근하지 마세요 . 악성코드를 자주 유포하는 크랙된 소프트웨어나 키젠을 다운로드하지 마세요.

매크로 및 스크립트 제한 – Office 문서에서 매크로를 비활성화하고 검증되지 않은 출처의 스크립트 실행을 방지합니다.

UEFI/BIOS 보안 강화 – 펌웨어를 최신 상태로 유지하고 사용 가능한 모든 보호 기능을 활성화하여 부팅 전 맬웨어 공격 위험을 줄이세요.

네트워크 분할 및 방화벽 – 액세스 제어를 시행하여 랜섬웨어가 측면적으로 확산되는 것을 제한합니다.

마지막 생각

HybridPetya 랜섬웨어는 위협 행위자들이 기존 랜섬웨어보다 더 심층적인 시스템을 공격함으로써 공격 수법을 고도화하고 있음을 보여줍니다. UEFI 보안 부팅을 우회하고 시스템에 중요한 파일을 암호화하는 기능을 통해 개인과 조직 모두에게 심각한 위험을 초래합니다. 사용자는 위험한 행위를 피하고, 강력한 방어 체계를 유지하며, 안전한 백업을 우선시함으로써 이 지능형 맬웨어 위협에 대한 노출을 크게 줄일 수 있습니다.