상세 컨텐츠

본문 제목

Ryuk 랜섬웨어 제작자, 최근 활동 통해 $640,000 벌어들여

국내외 보안동향

by 알약(Alyac) 2018. 8. 24. 10:28

본문

Ryuk Ransomware Crew Makes $640,000 in Recent Activity Surge


Ryuk라는 새로운 랜섬웨어가 $640,000 상당의 비트코인을 벌어들인 것으로 나타났습니다.


이 새로운 랜섬웨어 공격은 8월 13일, 보안 연구원인 MalwareHunter에 의해 처음 발견되었습니다. 



Ryuk 랜섬웨어, 타겟 공격에만 사용 돼


지난 주, Ryuk 랜섬웨어 감염을 호소하는 피해자들의 제보가 몇 건 있었지만, 아직까지 해당 랜섬웨어가 어떻게 유포되어 피해자들을 감염시키는지는 정확히 확인되지 않았습니다.


하지만 일반적으로, 이 랜섬웨어는  APT 공격을 통해 유포된다고 추측하고 있습니다. 


Ryuk 랜섬웨어의 운영자들은 스피어 피싱 이메일이나 인터넷에 노출 된 보호 되지 않은 RDP 연결을 통해 한번에 선택된 회사들 중 하나만을 타겟으로 하고 있습니다. 하지만 연구원들은 아직까지 정확한 감염 방법을 알아내지 못한 상태입니다.


연구원들은 “우리가 확인할 수 있는 사실만을 기반으로 추측해볼 때, 이는 타겟 공격으로 보입니다. 이유는 이 악성 코드가 실행 되기 위해서는 어드민 권한이 필요하기 때문에 자체적으로 실행될 수 없습니다. 이 악성코드를 실행하는 무언가는 권한을 얻어야했습니다. 하지만 이 악성코드를 실행하는 역할을 맡은 무언가는 발견할 수 없었습니다.”고 밝혔습니다.



Ryuk 랜섬웨어, 이전에 북한과 관련 있었던 Hermes와의 관련성 발견 돼


Check Point가 발행한 보고서에서는 Hermes 랜섬웨어의 개발자 또는 최소 Hermes 랜섬웨어의 소스코드에 접근할 수 있었던 누군가가 Ryuk을 개발한 것으로 보인다고 밝혔습니다.


Hermes 2.1은 현재까지 활동하고 있는 것으로 보이며, 새로운 Ryuk 랜섬웨어와 동시에 유포되는 것으로 보입니다. 다른 점은, Hermes 2.1은 대량 이메일 스팸 캠페인을 통해 배포되며, Ryuk은 엄선한 공격에만 사용된다는 것입니다.


32비트, 62비트용 Ryuk 랜섬웨어 버전이 발견 되어, 이 랜섬웨어는 모든 유형의 시스템을 감염시킬 수 있는 것으로 나타났습니다. 이 두 샘플 모두에서 Hermes 랜섬웨어와의 유사점이 발견 되었습니다.



Ryuk, 감염 된 호스트의 서비스 180개 이상 중단 시켜


하지만 이들 사이에는 많은 차이점도 존재합니다. 그 중 하나는, Ryuk 랜섬웨어가 피해자의 시스템을 감염시키기 전 중단시키는 어플리케이션 및 서비스 목록이 아주 길다는 것입니다.


연구원들은 “이 랜섬웨어는 Taskkill 및 net stop을 사용해 사전에 정의 된 서비스 및 프로세스명 목록을 기반으로 프로세스 40개 이상, 서비스 180개 이상을 중단 시킵니다.”고 밝혔습니다.


랜섬 노트


연구원들은 Ryuk 샘플들 중 몇 개가 서로 다른 랜섬노트를 드랍하는 것을 발견했습니다. 길고 장황하게 작성 된 랜섬노트와, 직설적이고 간단명료한 랜섬노트 두 개가 발견 되었습니다.

 

이 두 랜섬노트 모두 피해자들에게 이메일을 통해 제작자들에게 연락할 것을 요구했습니다. 길게 작성 된 랜섬노트에서는 짧은 랜섬노트 (15-35 비트코인, ~$224,000)보다 더 큰 금액 (50 비트코인, ~ $320,000)을 요구했습니다.


연구원들은 이러한 사실이 대량의 이메일 스팸을 통해서가 아닌 해커가 네트워크를 감염시킨 후 Ryuk이 배포된다는 가정에 더욱 힘을 실어준다고 밝혔습니다.



Ryuk, 현재는 복호화가 불가능 해


Ryuk은 암호화 과정에서 AES-RSA 콤보를 사용하고 있기 때문에, 개발자들이 실수 없이 구현했을 경우 이를 복호화하는 것은 불가능합니다. 연구원들은 아직까지 Ryuk의 취약점을 발견하지 못했습니다.


현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.Ryuk로 탐지중에 있습니다. 




출처 :

https://www.bleepingcomputer.com/news/security/ryuk-ransomware-crew-makes-640-000-in-recent-activity-surge/

https://research.checkpoint.com/ryuk-ransomware-targeted-campaign-break/



관련글 더보기

댓글 영역