기업이나 공공기관에 대한 랜섬웨어 공격은 전 세계적으로 문제가 되고 잇으며 2020년에는 병원이 랜섬웨어 공격을 받은 영향으로 환자가 사망하는 사건까지 발생했다. 이런 가운데 대표적인 랜섬웨어인 류크(Ryuk)는 1억 5,000만 달러 몸값을 벌고 있는 것으로 밝혀지고 있다.
보안 기업인 어드밴스드인텔리전스(Advanced Intelligence)와 HYAS 조사에 따르면 류크는 지금까지 벌어들인 몸값이 1억 5,000만 달러를 웃도는 것으로 밝혀진 것. 류크가 공격 대상으로부터 받은 몸값은 비트코인을 현금으로 환전하는 과정을 보면 류크는 아시아에 본사를 둔 암호 자산 거래소인 후오비나 바이낸스에서 환금을 하는 것으로 판명됐다. 보통 암호화 자산 거래소에서 환금은 엄격한 본인 확인이 필요하지만 류크가 이용한 거래소에선 봉인 확인 절차가 엄격하게 운용되고 있지 않아 돈세탁에 이용되는 일이 많다는 지적이다.
공격자는 류크에 의한 랜섬웨어 공격을 하기 전에 공격 대상으로 악성코드(Emotet, Zloader, Qakbot)를 감염시켜 다양한 정보를 수집한다. 이후 수집한 정보에서 고액 몸값을 지불할 능력이 있다고 판단한 대상에게 류크를 이용한 랜섬웨어 공격을 한다. 이 방법을 통해 류크 공격자는 공격 한 번으로 수십만 달러에서 수백만 달러까지 몸값을 빼앗는데 성공한다.
또 일반적인 랜섬웨어를 이용한 공격자는 웹채팅 서비스를 이용해 공격 대상과 연락하는 반면 류크 공격자는 고도로 암호화된 통신을 이용해 연락해 통신 출처를 확인하는 게 상당히 어렵다. 또 일부 랜섬웨어를 이용한 공격자는 공격 대상 교섭에 응할 수 있지만 류크 공격자로부터 온 연락은 상당히 사무적으로 협상 여지가 없다고 한다.
어드밴스드인텔리전스는 랜섬웨어 공격을 방지하기 위해 마이크로소프트 오피스 매크로 실행을 제한하고 원격 액세스 포인트는 최신으로 업데이트하며 2단계 인증을 이용하고 원격 액세스 도구를 이용할 수 있는 IP를 제한하는 조치를 취할 걸 권장하고 있다. 관련 내용은 이곳에서 확인할 수 있다.