Clop 랜섬웨어는 이제 토렌트를 사용하여 데이터를 유출하고 게시 중단을 회피합니다.
Clop 랜섬웨어 집단은 강탈 전술을 다시 한 번 변경했으며 현재 MOVEit 공격에서 훔친 데이터를 유출하기 위해 토렌트를 사용하고 있습니다.
5월 27일부터 Clop 랜섬웨어 집단은 MOVEit Transfer 보안 파일 전송 플랫폼의 제로데이 취약점을 악용한 일련의 데이터 탈취 공격을 시작했습니다.
이 제로데이를 악용함으로써 위협 행위자들은 해킹당했다는 사실을 깨닫기도 전에 전 세계 약 600개 조직의 데이터를 훔칠 수 있었습니다.
6월 14일, 랜섬웨어 집단은 Tor 데이터 유출 사이트에 천천히 이름을 추가하고 결국 파일을 공개적으로 공개하면서 피해자를 갈취하기 시작했습니다.
그러나 Tor 사이트를 통한 데이터 유출에는 다운로드 속도가 느리기 때문에 일부 경우에는 데이터에 액세스하기가 더 쉬웠을 때 누출로 인한 피해가 크지 않기 때문에 몇 가지 단점이 있습니다.
이를 극복하기 위해 Clop은 일부 MOVEit 데이터 도난 피해자를 위해 도난당한 정보를 유출할 수 있는 클리어웹 사이트를 만들었습니다. 그러나 이러한 유형의 도메인은 법 집행 기관과 회사가 철거하기가 더 쉽습니다.
이러한 문제에 대한 새로운 해결책으로 Clop은 MOVEit 공격으로 훔친 데이터를 배포하기 위해 토렌트를 사용하기 시작했습니다.
이 새로운 전술을 처음 발견한 보안 연구원 Dominic Alvieri에 따르면 Aon, K&L Gates, Putnam, Delaware Life, Zurich Brazil 및 Heidelberg를 포함한 20명의 피해자를 위한 토렌트가 생성되었습니다.
이 새로운 강탈 방법의 일환으로 Clop은 토렌트 클라이언트를 사용하여 20명의 피해자에 대한 유출된 데이터와 마그넷 링크 목록을 다운로드하는 방법에 대한 지침을 제공하는 새로운 Tor 사이트를 설정했습니다.
토렌트는 서로 다른 사용자 간에 P2P 전송을 사용하므로 전송 속도는 기존 Tor 데이터 유출 사이트보다 빠릅니다.
BleepingComputer의 간단한 테스트에서 이 방법은 러시아의 한 IP 주소에서만 시드되었음에도 불구하고 5.4Mbps의 데이터 전송 속도를 수신했기 때문에 열악한 데이터 전송 문제를 해결했습니다.
게다가 이 배포 방식은 분산화되어 있기 때문에 법 집행 기관이 이를 차단하기가 쉽지 않습니다. 원래 시더가 오프라인 상태가 되더라도 필요에 따라 새 장치를 사용하여 훔친 데이터를 시드할 수 있습니다.
이것이 Clop의 성공으로 입증된다면, 이 방법은 설정이 더 쉽고, 복잡한 웹사이트가 필요하지 않으며, 도난당한 데이터의 광범위한 배포 가능성이 높아 피해자들에게 더욱 큰 압력을 가할 수 있기 때문에 이 방법을 계속 활용하여 데이터를 유출하는 것을 보게 될 것입니다.
Coveware는 Clop이 강탈금으로 7500만~1억 달러를 벌 것으로 예상한다고 밝혔습니다. 많은 피해자가 몸값을 지불하고 있기 때문이 아니라, 위협 행위자가 소수의 기업이 매우 큰 몸값을 요구하도록 설득하는 데 성공했기 때문입니다.
토렌트 사용이 더 많은 지불로 이어질지 여부는 아직 결정되지 않았습니다. 그러나 이러한 수입으로는 문제가 되지 않을 수 있습니다.
미국 정부 계약업체인 Maximus의 데이터 유출로 800만 명이 피해를 입었습니다.
에스티 로더(Estée Lauder) 뷰티 대기업, 두 랜섬웨어 갱단에 의해 침해당함
Clop 갱단, MOVEit 강탈 공격으로 7,500만 달러 이상 벌어들여
랜섬웨어의 한 주 - 2023년 6월 16일 - 갈취의 물결
미국 정부, Clop 랜섬웨어 정보에 천만 달러 현상금 제안
사용 가능한 Clop 토렌트 목록