WannaCry Ransomware Attack

워너크라이(WannaCry)의 잠재적 피해

멀웨어의 광범위한 확산과 그로 인한 피해로 인해 3일간의 공격으로 인해 전 세계적으로 수십억 달러의 비용이 발생한 것으로 추산되었습니다.

그러나 워너크라이로 인한 피해는 여러 사업과 산업에 고르게 분산되지 않았습니다. 취약한 기계를 대량으로 운영하고 있던 영국의 NHS(National Health Service)와 같은 기관은 특히 큰 타격을 입었습니다.  워너크라이(Wannacry)가 NHS에 지불하는 비용만 1억 달러로 추산됩니다.

2017년 워너크라이(WannaCry) 코드 내에서 '킬 스위치'가 발견되면서 비로소 막을 수 있었는데, 이 스위치는 멀웨어가 더 이상 확산되거나 추가 시스템에 저장된 데이터를 암호화하는 것을 막았다. 2017년 발병 이후 WannaCry의 수정된 버전에 의한 추가 공격이 발생했습니다. 그러나 이들 중 어느 것도 최초 발병과 동일한 발자국, 비용 또는 인식을 달성하지 못했습니다.

Wannacry 랜섬웨어는 어떻게 작동합니까?

랜섬웨어의 일종으로, 초기 감염부터 데이터 암호화를 거쳐 최종 몸값 요구까지 크게 표준화된 일련의 단계를 따릅니다.

#1. 감염

다른 많은 랜섬웨어 변종과 달리 WannaCry는 악성 이메일에 의해 전달되거나 멀웨어 드로퍼를 통해 설치되지 않고 자체적으로 확산됩니다.

워너크라이(WannaCry)의 웜 기능은 윈도우(Windows)의 서버 메시지 블록(Server Message Block, 중소/중견기업) 프로토콜의 취약점을 이용하는 이터널블루(EternalBlue) 익스플로잇을 사용하는 데서 비롯된다. 이 취약점은 NSA(National Security Agency)에 의해 처음 발견되었으며 Shadow Brokers에 의해 공개적으로 유출되었습니다.

EternalBlue가 유출된 후 Microsoft는 2017년 4월에 문제를 수정한 중소/중견기업의 업데이트된 버전을 출시했습니다. 워너크라이(WannaCry)가 본격적으로 발생하기 한 달 전이었지만 많은 조직이 아직 패치를 설치하지 않았기 때문에 워너크라이(WannaCry)에 취약했습니다.

워너크라이(WannaCry)에 감염된 컴퓨터는 인터넷에서 취약한 버전의 중소/중견기업을 실행하는 다른 컴퓨터를 검색합니다. WannaCry가 발견되면 감염된 컴퓨터는 EternalBlue를 사용하여 대상 컴퓨터에서 WannaCry 복사본을 보내고 실행합니다. 이 시점에서 멀웨어는 컴퓨터 파일의 암호화를 시작할 수 있습니다. 그러나 먼저 특정 웹 사이트의 존재를 확인합니다. 웹 사이트가 있으면 멀웨어는 아무 작업도 수행하지 않습니다. 이 "킬 스위치"의 존재는 워너크라이(WannaCry)의 확산을 막는 방법(일단 실행되면 독립적으로 확산됨) 또는 포렌식 분석을 더 어렵게 만드는 수단(대부분의 사이버 보안 연구소 환경은 멀웨어가 요청하는 웹사이트가 존재하는 것처럼 가장하기 때문에)으로 이론화됩니다. 요청한 도메인을 찾을 수 없는 경우 WannaCry는 암호화 단계로 진행합니다.

#2. 암호화

랜섬웨어 변종인 WannaCry는 몸값을 지불하지 않는 한 컴퓨터의 파일에 대한 사용자 액세스를 거부하도록 설계되었습니다. 이는 암호화를 사용하여 수행되며, 여기서 멀웨어는 비밀 키에 대한 지식이 있어야만 되돌릴 수 있는 방식으로 데이터를 변환합니다. WannaCry의 비밀 키는 랜섬웨어 운영자만 알고 있기 때문에 피해자는 데이터를 검색하기 위해 몸값을 지불해야 합니다.

WannaCry는 컴퓨터에서 파일 확장자 유형의 집합 목록을 검색하고 암호화하도록 설계되었습니다. 이는 멀웨어가 시스템 안정성에 미치는 영향을 최소화하기 위해 수행됩니다. 잘못된 파일이 암호화되면 컴퓨터가 실행되지 않을 수 있으므로 피해자가 몸값을 지불하거나 파일을 검색할 수 없습니다.

#3. 몸값

워너크라이(WannaCry) 멀웨어는 피해자들에게 미화 300달러의 몸값을 요구했다. 그러나 몸값 요구는 법정 화폐가 아닌 비트코인으로 지불하는 것이었습니다. 암호화폐인 비트코인은 기존 유형의 통화보다 추적이 어렵기 때문에 랜섬웨어 운영자가 당국에 신원을 즉시 알리지 않고 랜섬 메시지에 결제 주소(은행 계좌 번호와 유사)를 포함할 수 있기 때문에 랜섬웨어 운영자에게 유용합니다.

워너크라이(WannaCry) 공격의 피해자가 몸값을 지불하는 경우 컴퓨터에 대한 암호 해독 키를 제공해야 합니다. 이를 통해 사이버 범죄자가 제공하는 암호 해독 프로그램이 사용자 파일에서 수행된 변환을 되돌리고 원본 데이터에 대한 액세스를 반환할 수 있습니다.

WannaCry 랜섬웨어로부터 보호하는 방법

워너크라이(WannaCry) 랜섬웨어는 EternalBlue 익스플로잇에 크게 의존하고 있습니다. 원래 맬웨어의 작성자는 이 취약점을 사용하여 WannaCry를 자체적으로 확산될 수 있는 웜으로 만들었습니다. 이 경우 WannaCry로부터 보호하는 가장 간단한 방법은 중소/중견기업을 사용하지 않도록 설정하거나 취약점을 수정하는 Microsoft에서 제공하는 패치를 설치하는 것입니다.

그러나 이것은 매우 구체적인 문제에 대한 해결책입니다. 다른 랜섬웨어 변종이나 다른 수단으로 확산되는 WannaCry로부터 조직을 보호하지 않습니다. 다양한 랜섬웨어 위협으로부터 조직을 보호하는 방법을 알아보려면 체크포인트의 랜섬웨어 방지 솔루션을 확인하세요.