Ryuk 랜섬웨어란 무엇일까요?

Ryuk 랜섬웨어는 기업의 컴퓨터와 서버에 있는 파일을 암호화하고 일반적으로 비트코인으로 랜섬을 지불할 때까지 접속할 수 없게 하는 멀웨어의 한 종류입니다. Ryuk 랜섬웨어는 특히 Microsoft Windows 운영 체제를 표적으로 삼습니다. 대부분의 랜섬웨어 종류와 달리 Ryuk는 호스트 시스템이 충돌하거나 불안정해질 수 있는 시스템 파일을 암호화하려고 시도합니다.

Ryuk는 더 큰 비용을 지불할 재정적 능력이 있는 대기업과 기관을 표적으로 삼는 것으로 알려져 있습니다. 이러한 종류의 랜섬웨어 공격을 '빅 게임 헌팅(BGH)'이라고 합니다. Ryuk 공격자들은 기업을 표적으로 삼을 때 넓은 그물을 던지는 대신 광범위한 감시를 수행하고 표적을 감염시키기 위해 수동 노력을 기울입니다.

Ryuk는 잘 알려진 RaaS(Ransomware as a Service) 프로그램으로 운영되며, 멀웨어 개발자는 랜섬의 일정 비율을 대가로 공격에 사용할 수 있도록 다른 해커에게 멀웨어를 제공합니다.

Ryuk 랜섬웨어는 2018년에 처음 관측되었습니다. 시작은 사이버 범죄 세계에 널리 배포된 초기 형태의 랜섬웨어인 Hermes로 거슬러 올라갑니다.

Ryuk 랜섬웨어 공격의 피해자는 정부, 학교 시스템, IT 기업, 공공 시설 등입니다. Ryuk는 UHS(Universal Health Services)를 비롯한 많은 헬스케어 시스템을 공격했습니다. 또 다른 주요 공격 대상으로 Tribune 신문사, 플로리다의 공공 시설, 프랑스 IT 서비스 기업 Sopra Steria가 있습니다.

2021년 Ryuk 랜섬웨어는 사람의 개입 없이도 컴퓨터와 시스템 사이에서 확산할 수 있는 웜과 유사한 기능을 갖춘 새로운 변종을 개발했습니다. 이러한 개발로 공격 시퀀스가 더 빨라지고 공격자가 시스템 전반에 걸쳐 더 넓은 범위로 시스템을 중단시킬 수 있습니다.

Ryuk 랜섬웨어 공격의 주요 배후는 러시아 사이버 범죄 집단인 Wizard Spider로 추정됩니다.

Ryuk 랜섬웨어 위협은 다양한 기법, 기술, 절차(TTP)를 사용해 컴퓨터 네트워크를 제어합니다. 배포 방법은 다음과 같습니다.

• 피싱: 사용자가 악성 링크를 클릭하거나 악성 첨부 파일을 열면 멀웨어를 설치하는 피싱 이메일 및 스팸 이메일.
• 취약점: 공격자가 IT 환경에 접속할 수 있도록 하는 원격 데스크톱 프로토콜(RDP) 애플리케이션의 취약점.
• 기존 멀웨어 및 트로이 목마: 시스템 취약점을 악용해 랜섬웨어의 페이로드를 은밀하게 배포(예: TrickBot 및 Emotet).

Ryuk 랜섬웨어는 IT 환경에 대한 접속 권한을 얻은 후 최종 공격의 피해를 극대화하기 위해 다양한 작업을 수행합니다.

• 측면 이동: 처음에는 Ryuk는 랜섬웨어 운영자가 나중에 네트워크 드라이브 전반에 랜섬웨어를 배포하는 데 사용할 머신을 제어하고 명령을 내릴 수 있도록 하는 멀웨어만 설치합니다. 시스템이 감염되면 공격자는 네트워크 내에서 측면으로 이동해 보안 알림을 트리거하지 않고 더 많은 디바이스를 감염시킵니다. TrickBot 스크립트는 더 높은 수준의 시스템에 접속할 수 있는 비밀번호를 수집해 권한을 에스컬레이션합니다.
• 복구 차단: Ryuk는 피해자가 파일을 쉽게 복구하지 못하도록 백업 및 섀도 복사본을 비활성화합니다.
• 정찰: Ryuk는 IT 환경을 탐색해 관리자 인증정보를 수집하고 암호화할 중요 자산을 식별합니다.
• 암호화: Ryuk 랜섬웨어는 RSA 및 AES-256 암호화 알고리즘을 조합해 파일을 잠그고 암호화 키를 생성합니다.
• 랜섬 요구: 랜섬 메시지는 일반적으로 RyukReadMe.txt와 같은 텍스트 파일로 남겨집니다. 이 파일은 공격자에게 연락하여 랜섬을 지불하고 암호 해독 키를 받는 방법을 피해자에게 알려줍니다.

Ryuk 랜섬웨어를 차단하려면 여러 레이어의 사이버 보안 방어를 포함하는 전략이 필요합니다.

• 백업: 기업이 중요한 데이터를 백업하고 사본을 오프라인 데이터 스토리지에 보관하면 랜섬을 지불하지 않고도 Ryuk 공격으로부터 신속하게 복구할 수 있습니다.
• 사이버 보안 제어: 강력한 안티멀웨어, 안티바이러스 솔루션, 안티랜섬웨어, 방화벽, 원격 접속을 위한 VPN, 애플리케이션 허용 목록 및 기타 전략을 도입하는 것은 의심스러운 활동을 탐지하고 차단하는 포괄적인 접근 방식의 일부입니다.
• 업데이트: 시스템을 업데이트하고 소프트웨어를 정기적으로 패치하면 공격자가 취약점을 악용할 수 있는 가능성이 최소화됩니다.
• MFA(멀티팩터 인증): 사용자가 IT 리소스에 대한 접속을 요청할 때 두 가지 이상의 식별 형식을 제공하도록 요구하면 IT 환경에 대한 무단 접속을 차단하는 데 도움이 됩니다.
• 마이크로세그멘테이션 네트워크와 개별 IT 자산을 세그멘테이션하면 민감한 데이터를 보호하고 랜섬웨어 및 기타 사이버 공격이 의존하는 측면 이동을 방지할 수 있습니다.
• 보안 교육: 랜섬웨어의 리스크, 사이버 보안 모범 사례, 피싱 이메일을 탐지하고 피하는 방법을 교육하면 사람의 실수에 의존하는 많은 공격을 피하는 데 도움이 될 수 있습니다.
• 엔드포인트 보호: 또한 기업은 최종 사용자 디바이스를 모니터링해 악성 활동을 탐지하는 엔드포인트 보호 툴을 구축해야 합니다.
• 지속적인 모니터링: IT 팀은 위협 인텔리전스 피드의 정보를 통해 네트워크 활동을 지속적으로 실시간 모니터링함으로써 랜섬웨어와 멀웨어 공격을 신속하게 탐지하고 방어할 수 있습니다.

Ryuk 감염을 해결하려면 신속한 조치와 잘 짜여진 인시던트 대응 계획을 실행해야 합니다.

• 감염된 시스템 격리: 네트워크에서 감염된 부분을 격리하면 랜섬웨어의 추가 확산을 방지하며, 인터넷에서 분리하면 공격자가 멀웨어와 통신하지 못하게 됩니다.
• 영향을 받는 모든 드라이브 복구: 랜섬웨어 제거 툴로 감염된 드라이브를 복구하고 멀웨어의 실행 파일 및 페이로드를 제거하는 것은 재감염을 방지하는 데 매우 중요합니다.
• 암호화된 파일 복원: Ryuk는 일반적으로 프라이빗 키 없이 암호 해독이 불가능하므로 암호화된 파일은 백업에서 복원해야 합니다.
• 사이버 보안 전문가 참여: 복구 속도를 높이는 데 도움이 될 수 있습니다.
• 법 집행 기관에 신고: FBI와 같은 당국이 랜섬웨어 공격에 대응하는 데 도움이 될 수 있습니다.