1550억 원의 몸값을 빼앗은 랜섬웨어 'Ryuk'가 사용한 수법이란?

기업이나 공공기관을 타겟으로 한 랜섬웨어 공격은 세계적으로 문제가 되고 있으며, 2020년에는 병원이 랜섬웨어 공격을 받은 영향으로 환자가 사망하는 사건도 발생했습니다. 그런 가운데, 대표적인 랜섬웨어인 'Ryuk'는 1억 5000만 달러의 몸값을 벌어들인 것으로 밝혀졌습니다.

Crime Laundering Primer: Inside Ryuk Crime (Crypto) Ledger & Risky Asian Crypto Traders
https://www.advanced-intel.com/post/crime-laundering-primer-inside-ryuk-crime-crypto-ledger-risky-asian-crypto-traders

Crime Laundering Primer: Inside Ryuk Crime (Crypto) Ledger & Risky Asian Crypto Traders

보안기업 Advanced Intelligence와 HYAS의 조사에 따르면, Ryuk가 지금까지 벌어들인 몸값의 합계는 1억 5000만 달러(약 1550억 원)를 웃도는 것으로 밝혀졌습니다.

아래의 이미지는 Ryuk가 공격대상으로부터 몸값으로 받은 비트코인을 현금으로 환전하는 과정을 보여줍니다. Advanced Intelligence의 조사에 의해 Ryuk가 아시아에 본사를 둔 암호자산 거래소인 'Huobi'나 'Binance'에서 환금을 하고 있다는 것이 드러났습니다. 일반적으로 거래소에서의 환금은 엄격한 본인확인이 필요하지만, Ryuk가 이용한 거래소에서는 본인확인 절차가 엄격하게 운용되고 있지 않았기 때문에 돈세탁에 이용되는 경우가 많다고 Advanced Intelligence는 지적합니다.

공격자는 Ryuk를 이용한 랜섬웨어 공격을 하기 전에 공격대상을 'Emotet', 'Zloader', 'Qakbot' 등의 악성코드로 감염시켜 다양한 정보를 수집합니다. 그 후 수집한 정보를 바탕으로 고액의 몸값을 지불할 능력이 있다고 판단되는 대상을 타겟으로 랜섬웨어 공격을 가한다는 것. 이 방법으로 공격자는 한 번의 공격으로 수십만 달러에서 수백만 달러의 몸값을 빼앗는 데 성공합니다.

일반적으로 랜섬웨어를 이용한 공격자는 웹채팅 서비스를 이용해 공격대상과 연락하는데 비해 Ryuk 공격자는 고도로 암호화된 통신을 이용하여 연락을 시도하기 때문에 통신 출처를 확인하는 것이 매우 난해하다고 합니다. 또한 일부 랜섬웨어를 이용한 공격자는 공격대상의 교섭에 응하기도 하지만, Ryuk 공격자로부터의 연락은 매우 사무적이어서 협상의 여지가 없다고 합니다.

Advanced Intelligence는 랜섬웨어 공격을 방지하기 위해 'Microsoft Office 매크로의 실행을 제한', '원격 액세스 포인트는 최신으로 업데이트하고 2단계인증을 사용', '원격 액세스 툴을 사용할 수 있는 IP를 제한' 등의 조치를 취할 것을 권장합니다.