Ryuk 랜섬웨어란?

Ryuk는 일반적으로 아주 큰 규모의 조직을 대상으로 하는 랜섬웨어의 일종입니다. Ryuk를 실행하는 그룹에서는 피해자에게 거액의 랜섬을 요구합니다.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • Ryuk 랜섬웨어의 작동 방식 설명
  • Ryuk의 작동 방식 이해하기
  • 주요 Ryuk 랜섬웨어 공격 목록

관련 콘텐츠


계속 알아보시겠어요?

인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!

Cloudflare가 개인 데이터를 수집하고 처리하는 방법은 Cloudflare의 개인정보 취급방침을 참조하세요.

글 링크 복사

Ryuk 랜섬웨어란?

Ryuk는 공격자들이 2018년부터 기업으로부터 금전을 갈취하는 데 사용한 랜섬웨어*의 한 유형입니다. Ryuk를 실행하는 당사자들은 대부분의 랜섬웨어 공격자보다 더 규모가 큰 대상을 겨냥하고 더 고액의 랜섬을 요구합니다. Ryuk 공격은 표적을 감염시키기 위해 상당한 감시와 수작업이 필요하다는 점에서 이례적입니다. (일반적인 랜섬웨어 그룹의 경우 공격에 너무 많은 노력이 필요하면 비용 효율성이 떨어집니다.)

대부분의 Ryuk 랜섬웨어 공격의 배후로 추정되는 그룹은 위자드 스파이더(Wizard Spider)라고 합니다. 위자드 스파이더는 또한 양성 파일로 위장한 악의적 파일인 맬웨어 트로이 목마인 TrickBot을 운영합니다.

*랜섬웨어는 파일과 데이터를 잠그는 악의적 소프트웨어(맬웨어)로, 대부분 암호화를 통해 파일과 데이터를 잠그고 랜섬을 요구합니다. 랜섬웨어를 제어하는 공격자 또는 그룹은 피해 조직에서 랜섬을 지급하면 원격으로 파일의 잠금을 해제합니다.

Ryuk 랜섬웨어는 어떻게 조직에 침입할까요?

대부분의 경우 Ryuk "바이러스" 는 TrickBot 감염을 통해 네트워크에 침입합니다. TrickBot은 여러 가지 방법으로 조직에 침입할 수 있습니다. 스팸 이메일은 가장 일반적인 방법 중 하나입니다. TrickBot은 또한 악성 이메일, 특히 워드 문서 이메일 첨부 파일을 사용하여 컴퓨터를 감염시키는 기존의 Emotet 봇넷을 통해 확산됩니다.

TrickBot으로 장치가 감염되면 위자드 스파이더 그룹이 이를 사용하여 Ryuk 랜섬웨어를 설치할 수 있습니다. 그런 다음 Ryuk는 네트워크 내에서 내부망 이동하여 보안 경고를 트리거하지 않고 연결된 장치를 최대한 많이 감염시킵니다.

위자드 스파이더는 다양한 기법과 익스플로잇을 사용하여 감지되지 않은 채 네트워크 내에서 Ryuk 감염을 확산시킵니다.때때로 이 과정은 수동으로 진행되며, 이 그룹은 PowerShell(Windows 운영 체제의 유틸리티)에서 악성 스크립트를 원격으로 실행하거나 원격 데스크톱 프로토콜(RDP)을 악용하는 등의 방법을 사용할 수 있습니다.

Ryuk 랜섬웨어는 어떻게 작동할까요?

Ryuk가 실행되면 감염된 모든 컴퓨터, 네트워크 드라이브, 네트워크 리소스에 있는 파일과 데이터가 암호화됩니다.

보안 회사 CrowdStrike에 따르면, Ryuk는 RSA-2048 및 AES-256 알고리즘을 사용하여 파일을 암호화합니다. RSA는 공개 키 암호화 알고리즘으로, 파일과 데이터를 암호화하기 위한 한 쌍의 키(공개 키와 개인 키)를 생성합니다. 위자드 스파이더는 개인 키를 보유하고 피해자가 스스로 파일을 해독하지 못하도록 합니다.

대부분의 랜섬웨어와 달리 Ryuk는 시스템 파일을 적극적으로 암호화하려고 시도합니다. CrowdStrike에서 관찰한 바와 같이, 부팅 파일을 암호화하여 호스트 시스템을 불안정하게 만들거나 재부팅할 경우 시스템을 완전히 다운시킬 수 있는 시도를 합니다.

일반적으로 랜섬 메시지는 감염된 시스템에 텍스트(.txt) 파일로 나타납니다. Ryuk가 실행될 때 이 파일이 생성됩니다. 랜섬 메시지는 피해자에게 공격자에게 연락하여 랜섬을 지급하는 방법을 알려줍니다.

Ryuk 랜섬 지급

위자드 스파이더는 보통 비트코인으로 지급하도록 요구하며, 10만 달러 이상의 랜섬을 요구하는 경우도 많습니다.미국의 한 도시에서는 Ryuk의 공격을 받고 랜섬으로 46만 달러를 지급했습니다.

2021년에는 위자드 스파이더가 랜섬으로 1억 5천만 달러 이상을 벌어들인 것으로 전문가들은 추정했습니다.

Ryuk 랜섬웨어의 주요 공격은 무엇일까요?

트리뷴 퍼블리싱(Tribune Publishing) 공격

2018년에, Ryuk는 감염된 트리뷴 퍼블리싱 소프트웨어를 통해 미국 전역의 여러 신문사로 확산되었습니다.이 공격으로 인해 며칠 동안 신문 인쇄가 중단되었습니다.

유니버설 헬스 서비스(UHS) 감염

2020년에, 유니버설 헬스 서비스(UHS)는 Ryuk 랜섬웨어로 인해 IT 인프라가 잠겼습니다.이 기관에서는 전화 시스템과 환자 의료 기록에 액세스할 수 없었습니다.UHS에서 시스템을 복구하는 데는 약 3주가 걸렸으며, 이 공격으로 인해 6,700만 달러의 손실을 입은 것으로 추정했습니다.

2020년 미국 병원에 대한 공격

UHS 병원 외에도 다른 미국 병원 여러 곳에서 2020년에 Ryuk 랜섬웨어 공격으로 피해를 입었습니다. 이들 공격으로 중요한 데이터가 암호화되어 많은 환자들의 치료에 지장이 있었고 수술이 지연되었습니다.

Ryuk 랜섬웨어는 Hermes 랜섬웨어와 어떤 관련이 있을까요?

Hermes 랜섬웨어는 2017년에 처음 사용된 랜섬웨어와는 다르지만, 관련성이 있는 변종입니다. Hermes는 랜섬웨어 지하 세계에 널리 유포되어 있습니다. 여러 해 동안 많은 공격자들이 Hermes를 사용해 왔으며, Hermes는 특정 그룹과 연관되어 있지 않습니다.

Ryuk 랜섬웨어는 주로 Hermes를 기반으로 합니다. 처음에는 Ryuk가 Hermes와 많은 코드를 공유했지만, 시간이 지남에 따라 위자드 스파이더가 Ryuk를 더욱 변형시켰습니다.

Ryuk 랜섬웨어 감염을 예방하는 방법

  • 예상치 못한 이메일과 이메일 첨부 파일을 열지 않도록 사용자에게 교육: 대부분의 맬웨어 감염은 사용자 실수로 인해 발생하며 Ryuk도 예외는 아닙니다.위자드 스파이더 그룹이 조직 내에서 자체적으로 Ryuk를 전파하는 경우도 있지만, 초기 감염은 일반적으로 사용자가 악의적 이메일 첨부 파일을 열거나 다운로드하여 TrickBot 또는 Emotet에 감염되는 것으로 시작됩니다.사용자 보안 교육을 통해 이런 일이 발생할 가능성을 줄일 수 있습니다.
  • 시스템에 기존 감염이 있는지 분석: 많은 Ryuk 공격은 네트워크가 이미 TrickBot 또는 Emotet 맬웨어에 감염되어 있으므로 발생합니다.중요한 엔드포인트 보안 관행인 맬웨어 방지 스캐닝은 이러한 감염을 감지하고 네트워크 관리자가 감염된 장치를 격리하는 데 도움이 될 수 있습니다.
  • Zero Trust 보안 모델 사용: Zero Trust 네트워크에서는 기본적으로 어떤 컴퓨팅 장치도 신뢰할 수 없으며, 장치를 지속해서 재확인해야 합니다.이 접근 방식은 감염된 장치에 대한 액세스를 제한하여 네트워크 손상을 방지합니다.
  • 파일과 데이터를 정기적으로 백업: 경우에 따라 조직에서는 랜섬을 지급하거나 전체 IT 인프라를 재구성하는 대신 백업을 이용하여 데이터를 복원할 수 있습니다.

이러한 방법을 사용하더라도 모든 위협을 100% 예방할 수 없듯이 Ryuk 랜섬웨어 공격이 발생하지 않는다고 보장할 수는 없습니다. 하지만 이러한 단계를 통해 감염 가능성을 크게 줄일 수 있습니다.

Zero Trust 보안 모델을 구현하는 데 도움이 필요하면 Cloudflare One을 참조하세요.Cloudflare One은 광범위한 네트워크 연결이 가능하고 Zero Trust 보안이 내장된 보안 액세스 서비스 에지(SASE) 플랫폼입니다.