최근 제트기 제조 업체인 Bombardier가 Clop 랜섬웨어 조직에 의해 회사 데이터를 탈취당했습니다. Clop 랜섬웨어 조직은 금주 Bombardier leaked data를 다크웹 사이트에 게시했고, 해당 게시물에는 비행기 설계서 및 부품 회로도, 비행 테스트 보고서가 포함되어 있는 것으로 확인되었습니다.

BleepingComputer 측은 이와 같은 내용을 확인한 후 Bombardier 에 연락을 시도했고, “해커가 파일 전송 프로그램으로부터 데이터를 탈취했다”는 내용을 전달받았습니다. 조사 결과, 허가받지 않은 사용자가 Bombardier 네트워크에서 분리된 특수 제작된 서버에서 실행중인 제 3자 파일 전송 애플리케이션(third-party file-transfer application)인 Accellion FTA의 취약점을 이용하여 데이터에 접근 및 추출한 것으로 확인되었습니다. 사이트에 게시된 leaked data의 정보는 아래 [그림 1]과 같습니다.

[그림 1] Bombardier leaked data 정보(출처: Clop 랜섬웨어 조직 사이트)

Accellion FTA는 회사 내부 조직원들이 외부 사람들과 함께 중요한 파일을 안전하게 공유하기 위해 사용되는 20년 된 레거시 파일 전송 서비스입니다. 작년 12월부터 Accellion FTA의 제로데이 취약점을 악용한 공격 사례가 발생했고, Accellion 측은 곧바로 보안 업데이트를 발표했지만 이미 해당 취약점을 통해 많은 피해가 발생한 이후였습니다. 이후 Clop 랜섬웨어 조직은 2021년 2월을 기준으로 해당 취약점을 통해 유출된 데이터들을 자신들의 웹사이트에 게시하기 시작했습니다.(피해 기업: Singtel, Jones Day, Fugro, Danager, ABS Group 등)

Accellion FTA를 이용한 사고가 발생한 경우, Clop 랜섬웨어 조직은 랜섬노트를 피해기업의 이메일로 전송하는 것으로 확인되었습니다. 랜섬노트는 아래 [그림 2]와 같습니다.

[그림 2] Accellion FTA 피해자에게 전송된 랜섬 노트(출처: BleepingComputer)

실제로 Clop 랜섬웨어 조직이 직접 공격을 했는지, 아니면 다른 해킹 그룹이 단순히 피해 기업의 leaked data를 해당 사이트에 게시한 것인지에 대해 확실히 밝혀지지는 않았습니다. 또한 현재까지도 Clop 랜섬웨어 조직 사이트에 계속해서 피해 그룹들의 leaked data가 게시되는 것으로 보아, 더 많은 피해 기업이 있을 것으로 예상됩니다.

[참고자료] https://www.bleepingcomputer.com/news/security/ransomware-gang-extorts-jet-maker-bombardier-after-accellion-breach/

보안관제센터 Team MIR