상세 컨텐츠

본문 제목

클롭(Clop) 랜섬웨어 다시 돌아오다, 한 달 동안 21명 공격

국내외 보안동향

by 알약4 2022. 5. 30. 11:36

본문

 


NCC 그룹 연구원은 11월부터 2월까지, 몇 달 동안 운영을 중단하였던 Clop 랜섬웨어가 다시 나타났다고 밝혔습니다. 

NCC그룹은 "CL0P 랜섬웨어는 예상치도 못하게 다시 활동을 시작하였으며, 3월 동안 가장 활동이 적은 랜섬웨어였지만 4월에는 네번째로 활발히 활동하는 랜섬웨어가 되었다."라고 하였습니다.

CL0P랜섬웨어의 활동은 4월 한달동안 데이터 유출 사이트에 21명의 새로운 희생자를 추가한 후 폭팔적으로 증가하였습니다. 

NCC그룹은, "4월에 위협 행위자들에 현저한 변동이 있었다. 여전히 Lockbit 2.0(피해자 103명)과 Conti(45명 피해자)가 가장 많은 위협 행위자이지만, CL0P 랜섬웨어의 피해자는 21명으로 큰 폭으로 증가했다."라고 밝혔습니다. 

Clop 랜섬웨어의 주요 공격 대상은 산업 부문으로, 공격 중 45%가 산업 조직을, 27%가 기술 기업을 대상으로 진행되었습니다. 

이 때문에, NCC 그룹의 Matt Hull은 랜섬웨어 그룹의 주요 표적이 되는 부문 내 조직에 랜섬웨어 공격에 대한 대비를 하라고 경고하였습니다. 

그러나, 이미 24명에 가까운 피해자들의 데이터가 유출되었음에도 불구하고, 랜섬웨어 그룹은 ID 랜섬웨어 서비스에 대한 제출 건수로 볼 때 그렇게 활발한 활동을 하지 않는 것으로 보입니다. 

 

 

서비스 종료의 일환인가?


최근 희생자들 중 일부의 경우 새로운 공격활동으로 확인되지만, 한가지 이론은 클롭 랜섬웨어 갱이 오랜시간 활동하지 않다가 결국 운영을 중단할 수도 있다는 것입니다. 

이 과정 중 랜섬웨어 갱이 이전에 공개하지 않았던 모든 피해자들의 데이터를 공개할 수도 있습니다. 

이는 콘티 그룹이 현재 진행중인 자체 셧다운의 일환과 유사합니다. 

이번에 공개한 데이터의 피해자들이 이미 이 전에 공격을 받은 오래된 피해자인지 아니면 새로운 공격에 대한 피해자 인지는 침해 통지를 발표하거나 확인을 통해 알 수 있습니다. 

 

 

Clop은 누구인가?


Clop 랜섬웨어 갱은, INTERPOL이 조정한 코드명 Operation Cyclone 국제법 집행 작전에 따라, 2021년 6월 일부 인프라가 폐쇄되었습니다. 

Clop 랜섬웨어 갱단을 위해 돈을 세탁하고 현금화 서비스를 제공한 혐의를 받는 6명이 체포되었습니다. 

보안회사 Intel471은 Bleeping Computer에서 "CLOP에 대한 전반적인 영향은 미미할 것으로 예상됩니다."라고 말했습니다. 

해당 랜섬웨어는 적어도 2019년 이후 전 세계를 공격 대상으로 하는 한편, 2021년 첫 3개월동안 랜섬머니 지급률을 증가시키는 대규모 Accellion 데이터 침해와 연관되어 있었습니다. 

Accelion 공격에서 Clop 운영자는 Accelion의 기존 FTA를 사용하여 유명 기업의 데이터만 대량으로 추출하였습니다. 

이후, 훔친 데이터를 활용하여 데이터가 온라인에 유출되지 않도록 높은 몸값을 요구했습니다. 

 

 

 

 

출처 : 

https://www.bleepingcomputer.com/news/security/clop-ransomware-gang-is-back-hits-21-victims-in-a-single-month/

관련글 더보기

댓글 영역