Ryuk 랜섬웨어 변종, 자가 확산 기능 구현해

 

 

New Ryuk ransomware implements self-spreading capabilities

 

프랑스의 국가 사이버 보안 기관인 ANSSI의 전문가들이 로컬 네트워크 내에서 웜처럼 작동하는 새로운 Ryuk 랜섬웨어 변종을 발견했습니다.

 

ANSSI가 발행한 리포트에는 아래와 같이 언급되어 있었습니다.

 

"이 변종은 일반적인 기능 이외에도 로컬 네트워크를 통해 자가 확산 되는 새로운 기능을 포함하고 있었습니다. 해당 악성코드는 예약된 작업을 사용하여 자기 자신을 윈도우 도메인 내 다른 기기로 전파했습니다. 이 악성코드는 일단 실행되면 윈도우 RPC 접근이 가능한 모든 기기에 자기 자신을 확산시킬 것입니다."

 

Ryuk 랜섬웨어 변종은 랜섬웨어(MUTEX 또는 기타)의 실행을 차단하는 메커니즘을 포함하지 않으며, rep.exe, lan.exe를 통해 자가복제합니다.

 

이 랜섬웨어는 로컬 네트워크 내 모든 가능한 IP 주소를 생성 후 ICMP 핑을 보냅니다. 이를 통해 로컬 ARP 캐시의 IP주소를 나열할 수 있고, 해당 위치에 패킷을 보낼 수 있습니다. 이후 발견된 모든 IP에서 오픈된 모든 공유 리소스를 나열한 후, 이를 모두 마운트하고 모든 내용을 암호화합니다.

 

이 변종은 해당 호스트에서 자체적으로 실행되도록 원격으로 예약 작업을 생성하는 것이 가능합니다. 예약된 작업은 윈도우 기본 도구인 schtasks.exe를 통해 생성됩니다.

 

“이 문서에서 분석한 Ryuk 변종은 자체 복제 기능을 포함하고 있었습니다. 전파는 실행 파일을 식별된 네트워크 공유에 복사하는 방법으로 이루어집니다. 이 단계가 끝난 다음에는 원격 시스템에서 예약 작업을 생성합니다.”

 

또한 Ryuk 랜섬웨어는 아래 레지스트리 키를 설정하여 지속성을 얻습니다.

 

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost

 

ANSSI의 보고서에서는 컴퓨터가 랜섬웨어에 감염되었는지 확인할 수 있는 방법을 공개하지는 않았습니다. 이 악성코드는 전파를 위해 도메인 내 권한이 있는 계정을 사용합니다.

 

전문가들은 사용자의 암호가 변경되더라도 Kerberos 티켓이 만료되지 않는 한 복제는 계속 될 것이라 지적했습니다.

 

“문제를 해결할 수 있는 한 가지 방법은 비밀번호를 변경하거나 사용자 계정을 비활성화 시킨 후 이중 KRBTGT 도메인 암호를 변경하는 것입니다. 이로 인해 많은 도메인 장애가 발생하고, 대부분의 경우 재부팅이 필요하지만 즉시 전파를 막을 수 있습니다.”

 

 

 

 

출처:

https://securityaffairs.co/wordpress/115064/reports/ryuk-ransomware-self-spreading-capabilities.html

https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-006.pdf

https://www.cert.ssi.gouv.fr/ioc/CERTFR-2020-IOC-005/