□ 개요
5월 27일, Clop 랜섬웨어 갱단은 MOVEit Transfer로 알려진 Progress Software의 관리형 파일 전송(MFT) 솔루션에서 이전에 알려지지 않은 SQL 주입 취약점(CVE-2023-34362)을 악용하였습니다. Clop 랜섬웨어 갱단은 해당 취약점을 악용하여 수백개의 회사를 침해 후 MOVEit Transfer 데이터베이스에서 데이터를 훔쳤다고 주장하고 있습니다.
Clop 랜섬웨어 갱단은 MOVEit 취약점을 통해 데이터를 탈취한 기업들을 대상으로 금전을 갈취하기 시작했습니다. 협상이 이루어지지 않을 경우 14일부터 데이터 유출 사이트에 이름이 추가될 것이며, 협상에 대한 금전을 지불하지 않을 경우에는 21일부터 탈취한 데이터를 유출하기 시작할 것이라고 밝혔습니다.
[그림 1] MOVEit 침해 기업에 대한 공지 (Clop 데이터 유출 사이트)
□ 데이터 유출 사이트에 13개 기업 등록
현재 Clop 랜섬웨어 갱단의 데이터 유출 사이트에는 Shell, UnitedHealthcare Student Resources (UHSR), the University of Georgia (UGA) and University System of Georgia (USG), Heidelberger Druck, Landal Greenparks 등 13개 기업이 등록되었습니다 이 중 일부 기업은 MOVEit 공격에 연루된 것으로 확인되었지만 다른 기업은 아직 조사 중입니다.
등록된 13개 기업 중 독일 인쇄 회사인 Heidelberger Druck은 조사 결과 데이터 유출이 발생하지 않았다고 밝혔습니다.
□ MOVEit Transfer 침해 사실을 공개한 기업
이미 MOVEit Transfer 침해 사실을 공개한 다른 조직으로는 젤리스(Zellis), 로체스터 대학교(the University of Rochester), 노바스코샤 주 정부(the government of Nova Scotia) 및 다양한 미국 연방 기관이 있습니다. 미국 사이버 보안 및 인프라 보안국(CISA)은 MOVEit 제로데이 취약점에 의해 침해를 당한 연방 기관과 협력하고 있습니다.
한편 6월 14일, 말레이시아 타카풀 운영업체인 PruBSN은 MOVEit 침해 사실을 인지하여 조사를 진행중이라고 밝혔습니다. 이름, 연락처, 주민등록번호, 은행 계좌 및/또는 일부 신용 카드 정보를 포함할 수 있는 개인 고객 데이터가 유출되었을 가능성이 있다고 말했습니다.
[그림 2] MOVEit 침해 사실을 공개한 기업 (PruBSN 공지)
□ 정부기관은 공격 대상이 아니라고 언급
Clop 랜섬웨어 갱단은 군대, 어린이 병원, 정부기관 등의 경우 공격대상이 아니므로 탈취한 데이터를 모두 삭제했다고 주장하고 있지만, 탈취된 데이터가 완전히 삭제되었는지 확인하기는 어렵습니다.
[그림 3] 정부 기관 데이터는 모두 삭제 했다는 공지 (Clop 데이터 유출 사이트)
□ 참고 자료
[1] Clop ransomware gang starts extorting MOVEit data-theft victims
[2] CL0P Ransomware Gang Exploits CVE-2023-34362 MOVEit Vulnerability
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158a
보안관제센터 MIR Team