Ryuk 랜섬웨어는 어떻게 작동합니까?
Ryuk는 표적 랜섬웨어 변종으로 설계되었으며, 이는 피해자와 함께 양보다 질에 중점을 둔다는 것을 의미합니다. Ryuk 감염은 의도한 피해자를 감염시키기 위한 매우 표적화된 공격으로 시작하여 파일 암호화와 매우 큰 몸값 요구가 뒤따릅니다.
#1. 감염
Ryuk 랜섬웨어 배후의 운영자는 피해자를 선택하고 감염시키기 위해 표적 접근 방식을 취합니다. Ryuk 랜섬웨어를 사용하는 캠페인은 많은 수의 컴퓨터를 감염시키고 상대적으로 적은 몸값(예: WannaCry)을 요구하는 대신 단일 조직에 초점을 맞추고 데이터 복구에 대한 요구 비용이 매우 높습니다.
이러한 이유로 류크는 일반적으로 매우 표적화된 수단을 통해 확산됩니다. 여기에는 맞춤형 스피어 피싱 이메일 사용과 손상된 자격 증명을 악용하여 RDP(원격 데스크톱 프로토콜)를 통해 시스템에 원격으로 액세스하는 것이 포함됩니다.
스피어 피싱 이메일은 Ryuk를 직접 전달하거나 일련의 멀웨어 감염 중 첫 번째일 수 있습니다. Emotet, TrickBot 및 Ryuk는 일반적인 조합입니다. RDP를 사용하면 사이버 범죄자가 대상 시스템에 직접 Ryuk를 설치 및 실행하거나 액세스 권한을 활용하여 네트워크의 더 중요한 다른 시스템에 도달하여 감염시킬 수 있습니다.
#2. 암호화
Ryuk는 대칭 알고리즘(AES-256)과 비대칭 알고리즘(RSA 4096)을 포함한 암호화 알고리즘의 조합을 사용합니다. 랜섬웨어는 대칭 알고리즘으로 파일을 암호화하고 RSA 공개 키로 암호화된 대칭 암호화 키의 복사본을 포함합니다. 몸값을 지불하면 Ryuk 운영자는 해당 RSA 개인 키의 사본을 제공하여 대칭 암호화 키의 암호를 해독하고 이를 사용하여 암호화된 파일을 해독할 수 있습니다.
랜섬웨어는 잘못된 파일을 암호화할 경우 감염된 시스템의 안정성에 심각한 위협이 됩니다. 이러한 이유로 Ryuk는 특정 파일 형식(.exe 포함)을 암호화하지 않습니다 및 .dll) 및 시스템의 특정 폴더에 있는 파일. 완벽한 시스템은 아니지만 Ryuk가 감염된 컴퓨터를 망가뜨릴 확률을 줄여 몸값을 지불하더라도 파일 검색이 더 어렵거나 불가능해집니다.
#3. 몸값
Ryuk는 가장 비싼 랜섬웨어 변종 중 하나로 알려져 있으며 2020년 1분기에 평균 몸값 요구액이 미화 111,605달러에 달 했습니다. Ryuk 랜섬 노트에는 피해자가 랜섬웨어를 운영하는 사이버 범죄자를 표적으로 삼아 몸값을 지불하는 방법에 대한 지침을 받을 수 있는 이메일 주소가 포함되어 있습니다.
그러나 몸값을 지불하기로 선택한 조직이 항상 지불한 만큼의 대가를 받는 것은 아닙니다. 몸값을 지불하면 사이버 범죄자가 피해자의 파일을 해독할 수 있는 암호 해독 키 및/또는 소프트웨어를 보내야 합니다. 대부분의 경우 사이버 범죄자는 파일에 대한 액세스 권한을 반환하지 않고 몸값을 받습니다.
그러나 사이버 범죄자가 선의로 행동하더라도 조직이 손실된 모든 파일에 다시 액세스할 수 있다는 보장은 없습니다. Ryuk 랜섬웨어 암호 해독기의 한 버전에는 대용량 파일을 해독할 때 마지막 바이트를 삭제하는 코드에 오류가 있었습니다 . 일부 파일 형식에서는 이 마지막 바이트가 패딩일 뿐이지만 다른 형식에서는 파일을 해석하는 데 중요합니다. 결과적으로 Ryuk 피해자는 몸값을 지불하더라도 암호화된 모든 파일을 되찾을 것으로 기대해서는 안 됩니다.
류크로부터 보호하는 방법
Ryuk 랜섬웨어 공격의 피해자가 되는 것은 조직에 막대한 비용을 초래합니다. Ryuk 랜섬웨어의 운영자는 표적 스피어 피싱 미끼를 개발하기 위해 노력을 기울였으며 문제에 대해 높은 몸값을 요구합니다. 그러나 경우에 따라 몸값을 지불하는 것만으로는 민감하거나 귀중한 데이터에 대한 회사의 액세스 권한을 다시 얻기에 충분하지 않습니다.
이러한 이유로 랜섬웨어 공격에 대응하는 것보다 막는 것이 훨씬 낫습니다. 암호화가 시작되기 전에 Ryuk 멀웨어를 검색할 수 있는 경우 조직에 최소한의 비용으로 인시던트를 완화할 수 있습니다.
체크 포인트의 랜섬웨어 방지 솔루션을 배포하면 조직이 Ryuk 및 기타 랜섬웨어 변종을 방어하는 데 도움이 될 수 있습니다. 이 도구는 일반적인 랜섬웨어 행동을 모니터링하여 제로데이(Zero-Day) 랜섬웨어 변종까지 탐지할 수 있습니다. 합법적인 프로그램은 많은 수의 파일을 열고 암호화하는 것과 같은 동일한 동작을 나타내지 않기 때문에 체크포인트의 랜섬웨어 방지 솔루션은 충실도가 높은 랜섬웨어 탐지를 제공하고 Ryuk 랜섬웨어 공격 시도와 관련된 피해와 비용을 최소화할 수 있습니다.
피드백