작년 기간 동안 러시아와 관련된 Clop 랜섬웨어 그룹이 미국 소프트웨어 회사인 Cleo가 개발한 인기 있는 기업 파일 전송 제품에서 발견한 취약점을 이용하여 최근 몇 주 동안 해킹한 기업 피해자들을 발표했습니다.
TechCrunch에서 본 다크 웹 누설 사이트의 게시물에 따르면 Clop 그룹은 Cleo의 소프트웨어 도구에서 발생한 취약점을 악용하여 침입한 것으로 주장하는 59개 조직을 명단에 올렸습니다.
이 취약점은 Cleo의 LexiCom, VLTransfer, 그리고 Harmony 제품에 영향을 미칩니다. Cleo는 2024년 10월에 이 취약점을 최초로 공개했고, 보안 연구원들은 이후 몇 달 뒤인 12월에 해커들이 취약점을 대규모로 악용하는 것을 목격했습니다.
Clop는 게시물에서 침해한 조직에 통보했지만 피해자 조직들이 해커들과 협상하지 않았다고 주장했습니다. Clop은 1월 18일까지 랜섬 요구가 지불되지 않으면 접수한 데이터를 게시할 것입니다.
기업 파일 전송 도구는 랜섬웨어 해커들 사이에서 인기 있는 대상이며, 특히 Clop 그룹은 이처럼 이러한 시스템에 저장된 민감한 데이터를 노립니다. 최근 몇 년 동안, 이 랜섬웨어 그룹은 Progress Software의 MOVEit Transfer 제품의 취약점을 악용한 바 있었고, 나중에 Fortra의 GoAnywhere 관리 파일 전송 소프트웨어의 취약점 대규모 악용을 대가로 한 것으로 알려졌습니다.
최근 해킹 스프리로, 적어도 한 곳의 회사가 Cleo 시스템을 향한 Clop 공격과 관련된 침입을 확인했습니다.
텔레비전표에 따르면 독일 제조업 거인 코베스트로는 Clop로부터 연락을 받았으며, 그들이 시스템의 특정 데이터 저장소에 접근했다는 것을 확인했습니다.
코베스트로 대변인 프제미슬라프 예드리시크는 발표에서 “미국 물류 서버에 무단으로 접근했음을 확인했으며, 이 서버는 주요 운송 공급자와 배송 정보를 교환하는 데 사용됩니다,”라고 말했습니다. “대응책으로, 시스템 무결성을 보장하고 보안 모니터링을 강화하며 고객들에게 사전 통지할 조치를 취했습니다.
예드리시크는 “서버에 포함된 대부분의 정보는 민감한 성격이 아니었지만, 접근된 데이터의 타입을 밝히지 않았습니다.
TechCrunch와 연락한 기타 주장된 피해자들은 Clop의 주장을 부인하고, 그들이 이번 광범위한 해킹 캠페인의 일환으로 공격당하지 않았다고 전했습니다.
미국 렌터카 거인 허츠 대변인 엠릴리 스펜서는 “허츠 데이터나 시스템이 현재 영향을 받았다는 증거가 없다,”고 발표했습니다.
“주의를 기울이기 위해, 현재 세 번째 자본의 사이버 보안 파트너의 지원 아래로 이 문제를 계속 주시하고 있습니다,”라고 스펜서가 덧붙였습니다.
클리오 소프트웨어를 사용하지 않는 호주 물류 회사 린폭스 대변인 크리스틴 파나요투도 그룹의 주장을 부인했으며, 회사 자체 시스템에 영향을 주는 사이버 사고를 경험하지 않았다고 말했습니다.
파나요투에게 타사를 통한 사이버 사고로 인해 데이터에 액세스된 경우를 물은 경우, 파나요투는 답변하지 않았습니다.
아로 일렉트로닉스와 웨스턴 얼라이언스 은행 대변인도 자신들의 시스템이 침해되지 않았다는 증거를 찾지 못했다고 TechCrunch에 전했습니다.
Clop은 최근 해킹된 소프트웨어 공급 체인 거인 블루 요더도 명단에 올렸습니다. 이 회사는 11월 랜섬웨어 공격을 확인했으며, 12월 12일 이후로 사이버 보안 사건 페이지를 업데이트하지 않았습니다.
블루 요더 대변인 마리나 레네키는 이전 TechCrunch 발표를 재확인하며, 회사가 “특정 파일 전송을 지원하고 관리하기 위해 클리오를 사용하고 있으며, 잠재적인 액세스를 조사 중이지만, 클리오 취약점이 우리가 11월에 경험한 사이버 보안 사건과 관련이 있다고 믿는 이유는 없다”고 말했습니다. 이 회사는 이 주장을 뒷받침할 증거를 제공하지 않았습니다.
TechCrunch의 질문에 응답한 기업들 중 어느 기업도 로그 등을 통해 자신들의 데이터에 접근이나 유출되었는지를 감지할 기술 수단을 보유하고 있는지 여부를 밝히지 않았습니다.
TechCrunch는 Clop의 누설 사이트에 명단에 올라온 다른 조직에서 아직 응답을 받지 못했습니다. Clop은 1월 21일에 더 많은 피해자 조직을 다크 웹 누설 사이트에 추가할 것이라고 주장했습니다.
아직 몇 개의 회사가 공격당했거나 Cleo는 Clop의 피해자로 목록에 올라가 있습니다. TechCrunch의 질문에 Cleo는 답변하지 않았습니다.
