Ryuk는 일반적으로 아주 큰 규모의 조직을 대상으로 하는 랜섬웨어의 일종입니다. Ryuk를 실행하는 그룹에서는 피해자에게 거액의 랜섬을 요구합니다.
이 글을 읽은 후에 다음을 할 수 있습니다:
관련 콘텐츠
인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!
글 링크 복사
Ryuk는 공격자들이 2018년부터 기업으로부터 금전을 갈취하는 데 사용한 랜섬웨어*의 한 유형입니다. Ryuk를 실행하는 당사자들은 대부분의 랜섬웨어 공격자보다 더 규모가 큰 대상을 겨냥하고 더 고액의 랜섬을 요구합니다. Ryuk 공격은 표적을 감염시키기 위해 상당한 감시와 수작업이 필요하다는 점에서 이례적입니다. (일반적인 랜섬웨어 그룹의 경우 공격에 너무 많은 노력이 필요하면 비용 효율성이 떨어집니다.)
대부분의 Ryuk 랜섬웨어 공격의 배후로 추정되는 그룹은 위자드 스파이더(Wizard Spider)라고 합니다. 위자드 스파이더는 또한 양성 파일로 위장한 악의적 파일인 맬웨어 트로이 목마인 TrickBot을 운영합니다.
*랜섬웨어는 파일과 데이터를 잠그는 악의적 소프트웨어(맬웨어)로, 대부분 암호화를 통해 파일과 데이터를 잠그고 랜섬을 요구합니다. 랜섬웨어를 제어하는 공격자 또는 그룹은 피해 조직에서 랜섬을 지급하면 원격으로 파일의 잠금을 해제합니다.
대부분의 경우 Ryuk "바이러스" 는 TrickBot 감염을 통해 네트워크에 침입합니다. TrickBot은 여러 가지 방법으로 조직에 침입할 수 있습니다. 스팸 이메일은 가장 일반적인 방법 중 하나입니다. TrickBot은 또한 악성 이메일, 특히 워드 문서 이메일 첨부 파일을 사용하여 컴퓨터를 감염시키는 기존의 Emotet 봇넷을 통해 확산됩니다.
TrickBot으로 장치가 감염되면 위자드 스파이더 그룹이 이를 사용하여 Ryuk 랜섬웨어를 설치할 수 있습니다. 그런 다음 Ryuk는 네트워크 내에서 내부망 이동하여 보안 경고를 트리거하지 않고 연결된 장치를 최대한 많이 감염시킵니다.
위자드 스파이더는 다양한 기법과 익스플로잇을 사용하여 감지되지 않은 채 네트워크 내에서 Ryuk 감염을 확산시킵니다.때때로 이 과정은 수동으로 진행되며, 이 그룹은 PowerShell(Windows 운영 체제의 유틸리티)에서 악성 스크립트를 원격으로 실행하거나 원격 데스크톱 프로토콜(RDP)을 악용하는 등의 방법을 사용할 수 있습니다.
Ryuk가 실행되면 감염된 모든 컴퓨터, 네트워크 드라이브, 네트워크 리소스에 있는 파일과 데이터가 암호화됩니다.
보안 회사 CrowdStrike에 따르면, Ryuk는 RSA-2048 및 AES-256 알고리즘을 사용하여 파일을 암호화합니다. RSA는 공개 키 암호화 알고리즘으로, 파일과 데이터를 암호화하기 위한 한 쌍의 키(공개 키와 개인 키)를 생성합니다. 위자드 스파이더는 개인 키를 보유하고 피해자가 스스로 파일을 해독하지 못하도록 합니다.
대부분의 랜섬웨어와 달리 Ryuk는 시스템 파일을 적극적으로 암호화하려고 시도합니다. CrowdStrike에서 관찰한 바와 같이, 부팅 파일을 암호화하여 호스트 시스템을 불안정하게 만들거나 재부팅할 경우 시스템을 완전히 다운시킬 수 있는 시도를 합니다.
일반적으로 랜섬 메시지는 감염된 시스템에 텍스트(.txt) 파일로 나타납니다. Ryuk가 실행될 때 이 파일이 생성됩니다. 랜섬 메시지는 피해자에게 공격자에게 연락하여 랜섬을 지급하는 방법을 알려줍니다.
위자드 스파이더는 보통 비트코인으로 지급하도록 요구하며, 10만 달러 이상의 랜섬을 요구하는 경우도 많습니다.미국의 한 도시에서는 Ryuk의 공격을 받고 랜섬으로 46만 달러를 지급했습니다.
2021년에는 위자드 스파이더가 랜섬으로 1억 5천만 달러 이상을 벌어들인 것으로 전문가들은 추정했습니다.
2018년에, Ryuk는 감염된 트리뷴 퍼블리싱 소프트웨어를 통해 미국 전역의 여러 신문사로 확산되었습니다.이 공격으로 인해 며칠 동안 신문 인쇄가 중단되었습니다.
2020년에, 유니버설 헬스 서비스(UHS)는 Ryuk 랜섬웨어로 인해 IT 인프라가 잠겼습니다.이 기관에서는 전화 시스템과 환자 의료 기록에 액세스할 수 없었습니다.UHS에서 시스템을 복구하는 데는 약 3주가 걸렸으며, 이 공격으로 인해 6,700만 달러의 손실을 입은 것으로 추정했습니다.
UHS 병원 외에도 다른 미국 병원 여러 곳에서 2020년에 Ryuk 랜섬웨어 공격으로 피해를 입었습니다. 이들 공격으로 중요한 데이터가 암호화되어 많은 환자들의 치료에 지장이 있었고 수술이 지연되었습니다.
Hermes 랜섬웨어는 2017년에 처음 사용된 랜섬웨어와는 다르지만, 관련성이 있는 변종입니다. Hermes는 랜섬웨어 지하 세계에 널리 유포되어 있습니다. 여러 해 동안 많은 공격자들이 Hermes를 사용해 왔으며, Hermes는 특정 그룹과 연관되어 있지 않습니다.
Ryuk 랜섬웨어는 주로 Hermes를 기반으로 합니다. 처음에는 Ryuk가 Hermes와 많은 코드를 공유했지만, 시간이 지남에 따라 위자드 스파이더가 Ryuk를 더욱 변형시켰습니다.
이러한 방법을 사용하더라도 모든 위협을 100% 예방할 수 없듯이 Ryuk 랜섬웨어 공격이 발생하지 않는다고 보장할 수는 없습니다. 하지만 이러한 단계를 통해 감염 가능성을 크게 줄일 수 있습니다.
Zero Trust 보안 모델을 구현하는 데 도움이 필요하면 Cloudflare One을 참조하세요.Cloudflare One은 광범위한 네트워크 연결이 가능하고 Zero Trust 보안이 내장된 보안 액세스 서비스 에지(SASE) 플랫폼입니다.