클롭(CLOP) 랜섬웨어 조직, 한 달 만에 21개 기관 공격해

NCC 그룹의 연구원에 따르면, 2021년 11월부터 2022년 2월까지 전체 운영을 중단했던 Clop 랜섬웨어 조직이 복귀한 것으로 나타났습니다.

 

NCC 그룹은 “Clop은 3월에 가장 활동이 적은 위협 행위자에서 4월에는 네 번째로 활동적인 위협 행위자로 올라섰으며, 랜섬웨어 위협 환경의 최전선에 폭발적이고 예상치 못한 복귀를 했습니다.”라고 말했습니다.

 

이러한 활동 급증은 Clop 랜섬웨어 그룹이 지난 4월 한 달 만에 데이터 유출 사이트에 21명의 새로운 희생자를 추가한 이후에 나타났습니다.

 

NCC 그룹은 “4월에 위협 행위자를 표적으로 삼는 데 눈에 띄는 변동이 있었다"며, "Lockbit 2.0(103명의 피해자)과 Conti(45명의 피해자)가 여전히 가장 많은 위협 행위자이지만, Clop의 피해자는 1명에서 21명으로 크게 증가했다.”고 덧붙였습니다.

 

Clop의 가장 표적이 된 부문은 산업 부문으로, Clop 랜섬웨어 공격의 45%는 산업 조직을, 27%는 기술 회사를 대상으로 합니다.

 

이 때문에, NCC 그룹의 전략적 위협 인텔리전스 글로벌 리더인 Matt Hull은 랜섬웨어 그룹의 가장 표적이 되는 부문의 조직이 Clop 조직의 다음 표적이 될 가능성을 고려하고 그에 따라 준비하라고 경고했습니다.

 

그러나 이미 24명의 희생자로부터 데이터가 유출되었음에도 불구하고, 랜섬웨어 그룹은 ID 랜섬웨어 서비스에 제출된 건수를 기준으로 그다지 활발하지 않은 것으로 보입니다.

[그림 1] Clop 랜섬웨어 활동 (출처 : BleepingComputer)

 

최근 희생자 중 일부는 새로운 공격에서 확인되었지만, 하나의 이론은 Clop 랜섬웨어 조직이 장기간 활동하지 않다 마침내 그들의 운영을 종료했다는 것입니다.

 

이 과정의 일환으로 랜섬웨어 조직은 이전에 공개되지 않은 모든 피해자들의 데이터를 공개할 가능성이 높습니다.

 

이것은 Conti 그룹이 현재 셧다운의 일환으로 하고 있는 것과 유사합니다.

 

이들이 오래된 피해자인지 새로운 피해자인지의 여부는 유출된 자료가 공개되거나, 피해 기업으로부터 확인이 되어야 할 것으로 보입니다.

 

Clop이 누구인가?

Clop 랜섬웨어 조직의 활동이 잠잠했던 것은 인터폴이 조정한 Operation Cyclone이라는 국제 법 집행 작전에 따라 2021년 6월 일부 인프라가 폐쇄된 것으로 쉽게 설명됩니다.

 

Clop 랜섬웨어 조직을 위해 돈을 세탁하고 현금화 서비스를 제공한 혐의를 받고 있는 6명의 개인이 키예프 지역에서 21차례 가택 수색을 벌인 끝에 우크라이나 당국에 체포되었습니다.

 

사이버 보안 회사인 Intel 471은 BleepingComputer에 “Clop에 대한 전반적인 영향은 미미할 것으로 예상된다”고 말했습니다.

 

적어도 2019년 이후 랜섬웨어 공격으로 Maastricht University, Software AG IT, ExecuPharm 및 Indiabulls 등 전 세계 피해자를 표적으로 삼았으며, Clop 조직은 2021년 첫 3개월 동안 평균 랜섬웨어 몸값 지불액을 크게 상승시킨 Accellion 데이터 침해와도 관련이 있습니다.

 

Accellion 공격에서 Clop의 운영자는 Accellion의 레거시 FTA(File Transfer Appliance)를 사용하여 유명 기업에서 대량의 데이터를 탈취했습니다.

 

이후에 조직은 훔친 데이터를 활용하여 피해 기업에게 데이터 유출을 빌미로 협박하고 높은 몸값을 요구했습니다.

 

Clop이 Accelion FTA 서버를 해킹한 기업들 중에는 에너지 회사 Shell, 사이버 보안 회사 Qualys, 슈퍼마켓 대기업 Kroger 및 전세계 여러 대학(콜로라도 대학, 마이애미 대학, 스탠퍼드 의과 대학, 메릴랜드 대학, 캘리포니아 대학)이 포함됩니다.

출처

https://www.bleepingcomputer.com/news/security/clop-ransomware-gang-is-back-hits-21-victims-in-a-single-month/

https://newsroom.nccgroup.com/news/ncc-group-monthly-threat-pulse-april-2022-448500

 

보안관제센터 MIR Team