신종 랜섬웨어 ‘하이브리드페트야(HybridPetya)’는 UEFI 보안 부팅을 우회할 수 있는 것으로 나타났다.
사이버보안 기업 이셋(ESET) 연구진이 하이브리드페트야라는 새로운 랜섬웨어 변종을 포착했다고 밝혔다. 이는 페트야(Petya), 낫페트야(NotPetya) 계열과 유사하게 NTFS 파티션의 마스터 파일 테이블(MFT)을 공격 대상으로 삼는다.
이셋에 따르면 하이브리드페트야는 특히 EFI 시스템 파티션에 악성 애플리케이션을 설치하기 위해 UEFI 보안 부팅 기능을 무력화할 수 있다.
차이점도 있다. 낫페트야가 데이터를 파괴하는 데 목적이 있었다면 하이브리드페트야는 실제 랜섬웨어로 작동한다. 연구진에 따르면 이 악성코드에 포함된 알고리즘은 공격자가 피해자의 개인 설치 키에서 복호화 키를 재구성할 수 있도록 설계돼 있다. 이론적으로 피해자가 몸값을 지불하면 데이터를 되찾을 수 있다는 의미다. 이셋이 분석한 변종은 비트코인으로 850유로를 요구했다.
다만 연구진은 해당 사례가 실제 공격보다는 연구용 프로젝트, 개념 증명(PoC), 혹은 초기 테스트 단계의 사이버 범죄 도구일 가능성이 높다고 추정했다.
공격 방식
이셋 분석에 따르면 하이브리드페트야는 마이크로소프트(MS)의 서명된 EFI 파일(reloader.efi) 내에 이미 패치된 취약점인 CVE-2024-7344를 악용한다. 이후 서명되지 않은 악성 파일 ‘cloak.dat’가 로드되어 무결성 검사를 우회한다. 이를 통해 악성 프로그램은 운영체제가 시작되기 전에 실행될 수 있다.
해당 설치 프로그램은 정식 윈도우 부트로더를 취약한 버전으로 교체한 뒤, 시스템을 의도적으로 충돌시켜 재부팅을 유도한다. 이후 감염된 부트로더가 하이브리드페트야 부트킷을 실행하며 MFT 암호화를 시작한다.
이 과정에서 살사20(Salsa20) 알고리즘을 이용한 암호화로 인해 사용자는 하드디스크 전체를 읽을 수 없게 된다. 화면에는 가짜 ‘CHKDSK’ 메시지가 표시돼 사용자가 정상 점검 작업으로 오인하도록 위장한다.
이셋은 아직 하이브리드페트야가 실제 공격 사례에서 확인되지는 않았다고 설명했다. 그러나 부트킷 기반 위협의 새로운 세대가 다가오고 있음을 보여주는 경고 신호로 해석해야 한다는 입장이다.
dl-ciokorea@foundryco.com
