워너크라이 랜섬웨어가 전 세계에 컴퓨터를 강타한 지 한 달 만에 새로운 종류의 랜섬웨어가 발견됐다.

이 바이러스는 머스크(Maersk), 로즈네프트(Rosneft) 및 머크(Merck)와 같은 다국적 기업의 시스템을 주로 감염시켰다.

랜섬웨어의 페트야 계열이 변형된 이 바이러스는 두 가지 방법으로 공격했다. 이 바이러스는 워너크라이에도 사용된 마이크로소프트 소프트웨어의 악용인 이터널 블루(Eternal Blue)라는 코드를 이용했다. 추가 공격 방법은 네트워크의 취약 부분을 통해 관리 도구를 감염시키는 것이다. 워너크라이 공격 이후 이터널 블루를 위해 패치된 소프트웨어 덕분에 페트야의 첫 번째 공격이 실패하면, 즉시 두 번째 방법이 실행된다. 즉 네트워크 취약성을 공격하는 것으로 바이러스가 가장 많이 확산됐다.

컴퓨터가 감염되면 페트야는 원격 관리 액세스에 일반적으로 사용되는 두 가지 도구인 WMI(Windows Management Instrumentation)와 PsExec을 사용하여 동일한 네트워크의 더 많은 컴퓨터를 감염시킨다.

보안 연구원인 레슬리 카하트는 공격자가 이러한 도구를 사용하여 멀웨어를 퍼뜨리는 것은 일반적인 방법이라고 말했다.

"WMI는 해커들에게 매우 효과적인 측면 이동 방법이다. 자주 허용되고 소프트웨어에 내장된 보안 도구로는 기록되거나 차단되지 않는다. Psexec은 조금 더 감가상각되었고 더 많이 모니터링되었지만 여전히 효과적이다."고 덧붙였다.

시스코 위협 정보팀인 탈로스 인텔리전스(Talos Intelligence)는, 페트야 랜섬웨어는 우크라이나 회계 시스템에 실행된 위조 업데이트 MeDoc에서 유래했을 수 있다고 말했다.