Ryuk 랜섬웨어는 금전적 이득을 목적으로 조직을 표적으로 삼는 정교한 악성코드 변종입니다. 본 가이드는 Ryuk의 작동 방식, 유포 방법 및 피해자에게 미칠 수 있는 잠재적 영향에 대해 살펴봅니다.
효과적인 예방 및 복구 전략에 대해 알아보세요. Ryuk 랜섬웨어에 대한 이해는 조직이 랜섬웨어 공격에 대비한 사이버 보안 방어 체계를 강화하는 데 필수적입니다.
Ryuk 랜섬웨어란 무엇인가?
Ryuk은 네트워크 드라이브 및 리소스를 식별하고 암호화하며 피해자 엔드포인트에서 섀도 복사본을 삭제할 수 있는 최초의 랜섬웨어 계열 중 하나입니다.
이로 인해 데이터의 외부 백업이 존재하지 않을 경우 공격으로부터 복구하는 것이 매우 어렵습니다.
류크 랜섬웨어의 기원
"류크(Ryuk)"라는 이름은 2000년대 초반 인기 미스터리 만화 및 애니메이션 "데스노트"에 등장하는 캐릭터 이름에서 유래한 것으로 보입니다. 이 이야기에서 "류크"는 표적 살해를 가능케 하는 사신이었다.
류크 랜섬웨어는 2018년 8월 대규모 조직을 대상으로 높은 몸값을 요구하며 처음 발견되었다.
이 랜섬웨어의 배후는 러시아 범죄 조직 WIZARD SPIDER입니다. 류크는 빠르게 "빅 게임 헌팅" 악성코드> 전략을 채택하며 범죄 조직의 새로운 방향을 제시했습니다.
이전까지 WIZARD SPIDER는 자사 악성코드 TrickBot을 활용한 전신 사기 공격에 주력해왔습니다. 보다 구체적으로, Ryuk은 "GRIM SPIDER"로 알려진 범죄 조직의 하위 그룹이 운영한 것으로 추정됩니다.
이 랜섬웨어의 명칭은 공격 시 동봉되는 몸값 요구서에 명시되어 있습니다. 그들은 이렇게 서명합니다: Ryuk, 어떤 시스템도 안전하지 않습니다.
현재까지 Ryuk의 피해자:
Ryuk은 피해자의 운영을 마비시킬 수 있는 중요한 정보를 찾을 수 있는 유명 기관을 표적으로 삼습니다.
신문사, 병원, 도시 조직 기능 등과 같은 표적이 포함되어 수십만 달러의 몸값이 지불되었습니다.
일부 공격이 미국 대선 시기에 발생했으며 민감한 데이터를 노렸다는 점에서, 사이버 공격 뒤에 숨은 의도가 있을 수 있다는 의혹이 제기되고 있습니다.
주목할 만한 류크 랜섬웨어 공격 사례:
2018년 10월: 류크는 대규모 기관인 온슬로 상하수도 관리청(OWASA)을 표적으로 삼아 네트워크를 마비시켰습니다.
2018년 12월: 트리뷴 퍼블리싱 신문사가 피해자가 되어 로스앤젤레스 타임스 등 사용자에게 영향을 미쳤습니다.
2019-2020년: Ryuk은 캘리포니아, 뉴욕, 오리건의 여러 병원을 표적으로 삼았습니다. 또한 영국과 독일의 의료 시설>도 표적으로 삼아 환자 기록 접근에 어려움을 초래했으며 중환자 치료에도 영향을 미쳤습니다.
2020년 말까지 총 10여 개 이상의 병원이 랜섬웨어 공격을 받았습니다. 2019년 6월 플로리다주 레이크시티 병원은 직원이 감염된 이메일을 열어 46만 달러의 몸값을 지불했습니다.
류크 랜섬웨어의 확산 방식
Ryuk 랜섬웨어는 동적인 배포 방식을 취합니다. 사건마다 대상을 위해 특별히 맞춤화된 고유한 전술을 사용하는 경우가 많습니다. 다른 랜섬웨어 공격 광범위한 대상에 공격을 퍼부어 다수의 개인 및 조직을 노리면서 한두 곳에서 성공하기를 바라는 반면, 류크 랜섬웨어 배포는 공격자가 침투하려는 네트워크에 맞춰 맞춤 제작됩니다.
Ryuk 랜섬웨어는 다음 초기 공격 방법 중 하나로 배포됩니다:
- 보호되지 않은 RDP 포트에 직접 접근하여
- 이메일 피싱을 활용하여 원격 접근 권한 획득
- 이메일 첨부 파일 및 다운로드를 배포하여 네트워크 접근
Ryuk 랜섬웨어는 일반적으로 Emotet 또는 TrickBot 악성코드를 통해 배포됩니다. 필수 파일만 암호화되어 탐지가 더 어려워집니다. 다운로드된 뱅킹 Emotet은 스파이웨어를 주요 페이로드로 하여 컴퓨터에 추가적인 악성코드를 추가할 수 있습니다. 이를 통해 공격자는 관리자 자격 증명을 수집할 수 있습니다.
이를 통해 공격자는 네트워크를 가로질러 이동하여 중요한 자산에 접근하고 이동할 수 있습니다. Ryuk은 .BAT 파일을 사용하여 감염된 시스템이 복원되는 것을 막습니다. Ryuk은 암호화 프로세스를 시작하기 전에 Windows VSS 섀도 복사본을 삭제하려고 시도합니다.
기본적으로 Windows는 볼륨과 파일에 대해 최대 64개의 섀도 복사본 백업을 만들어, 데이터 손실이나 덮어쓰기 발생 시 사용자가 서로 다른 시점의 스냅샷에서 데이터를 복구할 수 있도록 합니다. 그러나 Ryuk은 먼저 스냅샷을 삭제하고 저장 공간 크기를 조정하여 복구 가능성을 완전히 차단합니다:
또한 Ryuk는 데이터베이스, 안티바이러스 도구, 백업 등을 포함한 서비스와 프로세스를 비활성화하려고 시도합니다.
예를 들어 SentinelOne의 시연에서, Ryuk은 내장 백업 기능을 사용할 수 없도록 하고, Acronis, SQLSafe, VEEAM, Zoolz 등 여러 타사 백업 서비스도 비활성화합니다. 
Ryuk은 또한 Sophos 및 Symantec System Recovery 프로세스를 비롯한 일부 레거시 AV 보호 소프트웨어에 속하는 프로세스를 중지하려고 시도합니다. SentinelOne 관리 콘솔의 이 화면에서 볼 수 있듯이 Sophos는 특히 주목을 받습니다.
다음으로 Ryuk는 피해자의 파일에 대한 AES 키를 생성하고, 이 키를 두 번째 RSA 키로 다시 암호화합니다. 이 과정은 시스템 내 모든 드라이브와 네트워크 공유에 영향을 미치며, 이후 악성코드는 시스템 내 모든 폴더에 "RyukReadMe.txt"라는 텍스트 파일을 생성합니다. 이 파일에는 몸값 요구 사항이 포함되어 있습니다.
Ryuk 랜섬웨어 기능에 대한 기술적 분석
Ryuk 랜섬웨어 파일은 .ryk 또는 .rcrypted 파일 확장자로 식별됩니다. 암호화된 파일은 아래 패턴을 따릅니다 filename.xls.ryk.
Ryuk은 3단계 신뢰 암호화 모델을 사용합니다.
- 1단계: 공격자가 보유한 글로벌 키 쌍 – 이 개인 키는 몸값이 지불될 때 공개됩니다
- 2단계: 피해자별 키 쌍 – 랜섬웨어 암호화 과정에서 생성됩니다
- 3단계: 표준 AES 키 – Win32API 함수 CryptGenKey로 생성된 후 1단계 및 2단계 키 쌍으로 암호화됨
Ryuk 공격자들은 레이더를 피해 움직이기 위해 암호화된 이메일 서비스를 활용하며, 공격마다 주소를 변경합니다.
Ryuk 랜섬웨어 제거 방법
&
Ryuk의 복잡성 때문에, 경험이 풍부한 IT 팀만이 이를 제거할 수 있습니다.
네트워크에서 Ryuk을 제거할 수 있다 하더라도, 파일은 여전히 암호화된 상태로 남아 있을 것입니다. 위협 행위자만이 자산을 복구할 수 있는 열쇠를 쥐고 있습니다.
안전 모드나 시스템 복원을 통해 Ryuk을 제거하는 것도 가능하지만, 이상적으로는 중요한 자산을 확보하기 전에 공격을 방지하는 데 초점을 맞춰야 합니다.
모든 직원은 피싱 이메일을 주의 깊게 살펴봐야 합니다. 수신함에서 의심스러운 콘텐츠를 클릭하지 마십시오. 가장 중요한 것은 조직이 적절한 사이버 보안 프로토콜, 전략 및 교육 프로그램을 수립해야 한다는 점입니다.
기업을 공격으로부터 안전하게 보호하기 위해서는 위협을 탐지하고 방지하는 AI 기반의 엔드포인트 보안 플랫폼이 적합합니다. 최신 사이버 보안 소프트웨어는 환경에 대한 깊은 이해를 바탕으로 위협을 순위화하고 분류할 수 있으며, 악성코드를 재설계하기 위한 철저한 조사를 수행할 수 있습니다.
Ryuk 랜섬웨어 FAQ
Ryuk은 2018년 8월 처음 등장한 표적형 랜섬웨어 계열입니다. 러시아 사이버 범죄 조직 WIZARD SPIDER가 운영하며, "빅 게임 헌팅(big game hunting)" 즉, 최대한의 금전적 이익을 위해 대규모 조직을 공격하는 데 주력합니다. 일반적인 랜섬웨어와 달리 Ryuk 공격은 사람이 직접 수행하며 매우 정교합니다. 공격자들은 광범위한 정찰과 네트워크 침투 후 수동으로 랜섬웨어를 배포합니다.
Ryuk은 네트워크 드라이브를 암호화하고, 섀도 복사본을 삭제하며, Windows 시스템 복원을 비활성화하여 외부 백업 없이는 복구가 거의 불가능하게 만듭니다.
"Ryuk 운영자는 일반적으로 악성 링크나 첨부 파일이 포함된 피싱 이메일을 통해 시작합니다. 또한 무차별 대입 공격을 통해 노출된 원격 데스크톱 프로토콜(RDP) 연결을 악용하기도 합니다. 침투 후에는 TrickBot 또는 Emotet 악성코드를 배포하여 지속성을 확보하고 정찰을 수행합니다.
네트워크를 매핑하고 가치 있는 자산을 식별한 후, 공격자는 AdFind 및 Bloodhound 같은 도구를 사용하여 권한을 상승시킵니다. 마지막으로 PowerShell, SMB 및 기타 관리 도구를 사용하여 네트워크 전반에 Ryuk을 수동으로 배포합니다.
"조직은 여러 지표를 통해 Ryuk을 탐지할 수 있습니다. IP 범위 10.0.0.0/8, 172.16.0.0/16, 192.168.0.0/16을 대상으로 하는 비정상적인 네트워크 스캔 활동을 확인하십시오. 의심스러운 PowerShell 실행, 대량 파일 작업, vssadmin.exe를 사용한 볼륨 섀도 복사본 삭제 시도를 모니터링하십시오.
"RyukReadMe.txt"라는 이름의 파일과 안티바이러스 소프트웨어를 비활성화하려는 프로세스의 존재를 주의 깊게 관찰하십시오. SentinelOne과 같은 고급 탐지 플랫폼은 암호화가 시작되기 전에 이러한 행동 패턴을 식별할 수 있습니다.
Ryuk은 일반적으로 암호화된 파일에 .RYK 확장자를 추가합니다. 일부 변종은 .rycrypted 확장자를 사용하기도 합니다. 모든 암호화된 파일에는 상위 랜섬웨어의 잔여물인 "HERMES" 태그가 포함됩니다. 이 랜섬웨어는 암호화된 파일이 포함된 모든 폴더에 "RyukReadMe.txt" 랜섬 노트를 생성합니다.
Ryuk은 주로 연간 매출이 높은 대기업을 표적으로 삼습니다. FBI 보고서에 따르면 물류 회사, 기술 기업, 소규모 지방 자치 단체가 가장 빈번하게 공격을 받았습니다. 의료 기관은 특히 큰 타격을 입었으며, 2020년 말에만 20개 이상의 병원이 공격을 받았습니다.
기타 표적에는 정부 기관, 교육 기관, 제조 기업, 트리뷴 퍼블리싱과 같은 미디어 기관이 포함됩니다. Ryuk 공격자들은 적절한 몸값 요구를 설정하기 위해 잠재적 피해자의 재정 상황을 구체적으로 조사합니다.
"다중 인증을 사용하고 불필요한 RDP 포트를 비활성화하십시오. 측면 이동을 방지하기 위해 네트워크 세분화를 구현하고 3-2-1 방식을 사용하여 안전한 오프라인 백업을 유지하십시오. SentinelOne Singularity XDR과 같은 확장된 엔드포인트 탐지 및 대응(EDR) 솔루션을 배포해야 합니다. 피싱 인식에 대한 정기적인 직원 교육을 실시하고 사고 대응 계획을 유지하십시오.
모든 시스템, 특히 네트워크에 노출된 서비스에 패치를 적용하고 침해 지표를 모니터링하십시오. 애플리케이션 화이트리스트를 구현하고 관리 권한을 필수 인력으로만 제한하십시오.
"