얼마 전, 우리나라의 이랜드(E land) 그룹이 POS기 등 이랜드 그룹 매장 내에서 사용하는 여러 시스템에 대해 랜섬웨어에 감염되고 더불어 정보까지 탈취 당했다는 기사가 나왔었다.
실제로, 여러 보안 업체들에서 해당 상황에 대해 분석한 결과로는 랜섬웨어에 감염된 것이 맞으며 해당 랜섬웨어는 예전부터 TA505 라는 해킹그룹으로부터 만들어지고 운영된 Clop 랜섬웨어인 것으로 확인되었다.
현재, 탈취한 정보라면서 이랜드 그룹과 협상에 결렬될 때마다 협박의 용도로 카드 정보를 다크웹 상에 올리고있다. 하지만 이 정보가 진짜로 이랜드 그룹 POS기 등에서 탈취한 정보인지는 불분명해보인다.
사실 clop ransomware는 꽤 이전부터(작년) 등장해서 기업을 타겟팅 해서 유포되고는 했었다. 아래 글은 분석 글이다.
08. Clop
Clop 랜섬웨어는 2019년에 등장한 기업을 타깃으로 삼는 랜섬웨어이다. 본 글에서는 Clop 랜섬웨어를 분석한다. Malware Clop OS Windows7 action File Crypt(Ransom) 악성코드 파일을 실행하면 첫 행위로 popup...
p3ngdump.tistory.com
TA505 를 지원하는 국가의 특성상, 혹시나 싶어 아래 그래프에 연관 관계를 분석했었는데 이번에 유포된 clop 랜섬웨어가 이전에 뉴크스페드(NukeSped) 악성코드와 같은 URL을 사용한 것 처럼 보이기도 했다.
36. Threat graph(North Korea)
약 1년전부터 수집되는 정보들을 기반으로 threat graph를 계속 만들고 있다. 중간중간 시간날 때 덧붙이는 형식이어서 엄청난 정보를 포함하고 있지는 않지만 graph를 이어가다보니 중간중간 상관
p3ngdump.tistory.com
실제로 랜섬웨어 행위 자체에서 정보를 탈취하는 듯한 행위는 찾지 못했다. 아마도, 실제 파일을 암호화 하기 전 해당 파일 중 중요 파일이라 판단되는 것들에 대해 C2 서버로 복사, 전송한 이후에 파일을 암호화 하는 것 같다.
'Analysis' 카테고리의 다른 글
| 39. Rhadamanthys stealer (0) | 2023.01.31 |
|---|---|
| 38. 샤오치잉 그룹 (aka White Dawn, Core Code) (0) | 2023.01.25 |
| 36. Threat graph(North Korea) (0) | 2020.11.07 |
| 35. Maze ransomware (0) | 2020.08.13 |
| 34. makop ransomware (0) | 2020.04.19 |
