중요 알림: Google과 Yahoo는 2024년 4월부터 DMARC를 요구할 예정입니다.
자세히 보기
PowerDMARC

Clop 랜섬웨어란 무엇인가요?

아호나 루드라
CLOP 랜섬웨어
읽기 시간: 5

Clop 랜섬웨어는 보안 허점이 있는 시스템을 표적으로 삼는 악명 높은 크립토믹스 계열에 속합니다. Clop 랜섬웨어는 파일을 암호화하고 .Clop 확장자를 추가할 수 있습니다. 이 랜섬웨어의 이름은 밤에 사람의 피를 먹는 시멕스과의 벌레인 빈대를 뜻하는 러시아어 'Klop'에서 따온 것입니다.

이 랜섬웨어는 2019년에 마이클 길레스피에 의해 처음 관찰되었습니다. 최근 다음과 같은 보안 허점을 악용하는 데 사용되었습니다. MOVEit 전송 및 MOVEit 클라우드 의 보안 허점을 악용하여 여러 기업에서 5억 달러를 갈취했습니다.

Clop 랜섬웨어란 무엇인가요?

Clop 랜섬웨어는 일종의 멀웨어 의 일종으로, 피해자의 시스템에 있는 파일을 암호화하여 해커에게 몸값을 지불할 때까지 액세스할 수 없게 만듭니다. 이 랜섬웨어는 파일을 암호화하는 것 외에도 공격자가 공격 대상의 디바이스나 네트워크에서 민감한 기밀 정보를 유출하는 이중 갈취 전략으로 유명합니다. 몸값을 지불하지 않으면 탈취한 데이터를 공개하겠다고 협박하여 기업과 개인에게 심각한 데이터 침해와 평판 손상을 초래할 수 있습니다.

Clop 랜섬웨어는 피싱 이메일, 악성 첨부 파일을 통해 유포되거나 제로데이 취약점 를 통해 배포됩니다. 일단 시스템을 감염시키면 중요한 파일을 검색하고 암호화한 후 암호 해독 키의 대가로 보통 암호화폐로 몸값을 요구합니다.

Clop 랜섬웨어의 일반적인 지표는 암호화 확장자, 파일 해시 및 IP 주소입니다. 공격자는 대상 파일의 확장자를 .clop 또는 .CIop(작은 L 대신 대문자 i)로 변경합니다. 또한 랜섬 메모는 ClopReadMe.txt 또는 CIopReadMe.txt(작은 L 대신 대문자 i)로 저장됩니다.

Clop 랜섬웨어는 어떻게 작동하나요?

클롭은 탐지되지 않도록 전략적으로 진행됩니다. 전개 방식은 다음과 같습니다.

1. 감염 벡터

Clop 랜섬웨어는 감염된 다운로드 파일이나 링크가 포함된 피싱 이메일을 보내고 멀웨어를 심고 익스플로잇 키트를 설치하는 등의 방법으로 시스템을 유출하는 것으로 시작됩니다. 공격자들이 사용하는 또 다른 일반적인 수법은 피해자를 매크로가 활성화된 문서로 이동시키는 악성 HTML 첨부 파일이 포함된 이메일을 보내는 것입니다. 이렇게 하면 감염된 도구 및 프로그램(예: SDBOT, FlawedAmmyy 및 코발트 스트라이크.

2. 초기 타협

액세스 권한을 얻은 후 랜섬웨어는 페이로드를 실행하여 손상된 디바이스 또는 네트워크에서 악의적인 작업을 시작합니다. 랜섬웨어는 네트워크 내에서 다른 시스템과 서버를 감염시키기 위해 측면으로 진행할 가능성이 높습니다.

3. 파일 암호화

강력한 암호화 알고리즘을 사용하여 피해자의 시스템에 있는 파일을 암호화합니다. 여기에는 문서, 이미지, 데이터베이스 및 피해자에게 중요할 수 있는 기타 파일과 같은 중요한 데이터가 포함됩니다. 이렇게 함으로써 피해자는 데이터를 제어할 수 있고 몸값을 빨리 지불해야 한다는 압박을 받게 됩니다. 

4. 파일 이름 바꾸기

암호화된 파일은 종종 '.clop'과 같은 특정 확장자로 이름이 바뀌기 때문에 Clop으로 암호화된 파일임을 쉽게 식별할 수 있습니다.

5. 몸값 요구

Clop 랜섬웨어는 일반적으로 암호화된 파일이 포함된 각 폴더에 랜섬 메모를 남깁니다. 이 메모에는 피해자가 암호 해독 키를 얻기 위해 몸값을 지불하는 방법(보통 암호화폐로)에 대한 지침이 나와 있습니다.

6. 데이터 유출 및 이중 갈취

몸값을 위해 파일을 암호화하는 것 외에도 민감한 데이터를 유출하고 지정된 기간 내에 몸값을 지불하지 않으면 정보를 유출하겠다고 피해자를 협박합니다. 또한 훔친 데이터를 경쟁업체나 다크 웹에 판매하겠다고 피해자를 협박하여 압박을 가중시킬 수도 있습니다.

7. 지속성 및 난독화

Clop 랜섬웨어는 백도어를 만들거나 시스템 설정을 수정하여 시스템에서 지속성을 확보하려고 시도할 수 있습니다. 또한 바이러스 백신 소프트웨어나 보안 도구의 탐지를 회피하는 기술을 사용할 수도 있습니다.

8. 몸값 협상

위에서 언급했듯이 해커는 몸값 메모를 남기고, 피해자가 몸값을 협상하고 인질 데이터 해독 지침을 받을 수 있도록 주로 TOR 기반 채팅이나 이메일을 통한 커뮤니케이션 수단으로도 사용합니다.

이미 클롭 랜섬웨어 공격의 피해를 입은 경우 어떻게 해야 하나요?

클롭 랜섬웨어의 징후를 발견하면 즉시 감염된 시스템과 네트워크를 격리하여 랜섬웨어가 확산되어 상황이 악화되는 것을 방지하세요. 공격의 범위를 파악하세요. 어떤 시스템과 데이터가 암호화되었는지, 데이터가 유출되었는지 파악합니다. 보험 청구 또는 법 집행 기관 신고에 이 정보가 필요할 수 있으므로 조사 결과를 문서화하세요.

이 모든 것을 처리하는 것은 복잡할 수 있으므로 전문가의 도움을 받는 것이 좋습니다. 또한 법 집행 기관에 공격을 신고해야 할 수도 있습니다. 수사기관은 지원을 제공하고, 향후 공격을 예방하기 위해 노력하며, 잠재적으로 가해자를 추적할 수 있습니다.

또한 추가 조사를 위해 익스플로잇 증거를 보존하는 것이 좋습니다. 여기에는 일반적으로 로그와 랜섬 메모가 포함됩니다.

대부분의 회사는 백업을 보관하고 있으며, 이러한 회사 중 하나라면 시스템을 정리한 후 데이터를 복원하여 재감염의 가능성을 없애세요. 해커가 이중 갈취를 시도하지 않는다면 백업을 복원하는 것이 생명의 은인이 될 수 있습니다! 

Clop 랜섬웨어 예방 전략

클롭 랜섬웨어 및 이와 유사한 공격이 초래할 수 있는 피해를 고려할 때, 조직에서 몇 가지 예방 관행을 수립하여 클롭 랜섬웨어를 방지하는 것이 더욱 중요합니다.

패치가 적용되지 않은 소프트웨어와 디바이스는 침입하기 쉽기 때문에 해커들이 즐겨 사용합니다. 이러한 소프트웨어와 디바이스의 취약점은 잘 문서화되어 있어 해커가 새로운 침입 방법을 찾을 필요가 없기 때문에 유리합니다. 이미 알려진 것을 이용하기 때문입니다!

서비스형 사이버 범죄(CaaS)가 도입되면서 패치되지 않은 특정 유형의 소프트웨어를 악용하는 것으로 알려진 많은 도구가 저렴한 가격으로 제공됩니다. 이는 해커들이 업데이트되지 않은 시스템을 노리는 또 다른 좋은 이유입니다. 따라서 업데이트 알림을 무시하지 마세요.   

모든 디바이스, 시스템, 네트워크, 파일, 이메일 등을 일일이 살펴서 Clop 랜섬웨어의 징후를 식별할 수는 없습니다. 따라서 부서에 관계없이 팀원들이 침입의 징후를 읽을 수 있도록 교육하세요. 사회 공학 기반 공격에서는 직원이 첫 번째 방어선이라는 점을 기억하세요!

정기적인 미팅 일정을 잡아 디바이스 보안, 소프트웨어 업데이트, 데이터 보호에 대해 교육하세요. 의심스럽거나 잠재적으로 위험한 활동을 적절한 담당자에게 보고하는 방법을 알아야 합니다. 또한 팀이 원격으로 운영되는 경우 VPN 및 보안 Wi-Fi 사용과 같은 홈 네트워크 및 디바이스 보안 모범 사례에 대해 교육하세요.

무엇보다도 비밀번호 관리자를 사용하고, 강력하고 고유한 비밀번호를 설정하며, 비밀번호를 공유하거나 적어두지 않는 것이 좋습니다.

네트워크 조각화는 네트워크를 방화벽과 같은 보안 조치로 분리된 더 작고 고립된 세그먼트로 나누는 사이버 보안 전략입니다. 이 접근 방식은 랜섬웨어 공격이 전체 네트워크로 확산되는 것을 제한하여 랜섬웨어 공격으로부터 보호하는 데 도움이 됩니다. 

Clop 랜섬웨어가 한 세그먼트를 감염시키는 경우 네트워크 조각화를 통해 피해를 억제하고 네트워크의 다른 부분에 도달하는 것을 방지할 수 있습니다. 또한 더 작은 네트워크 세그먼트를 모니터링하면 보안 팀이 위협을 더 효과적으로 탐지하고 대응할 수 있습니다.

이메일 필터는 악성 다운로드 파일, 링크 또는 랜섬웨어 페이로드가 포함된 수신 이메일을 확인하여 유입을 차단합니다. 최신 버전의 이메일 필터링 도구는 사용자 행동을 분석하여 이상 징후를 포착하고 보고할 수 있습니다.

샌드박싱에서는 잠재적으로 위험한 애플리케이션이나 코드를 샌드박스라고 하는 통제되고 격리된 환경에서 실행합니다. 샌드박스는 주요 기술 환경과 완전히 분리되어 있습니다. 이를 통해 잠재적으로 악성일 수 있는 코드를 안전하게 실행하고 테스트할 수 있습니다.

또한 이 방법을 통해 보안팀은 랜섬웨어의 동작을 연구하고 대응책을 개발할 수 있습니다. 조직은 샌드박싱을 사용하여 랜섬웨어 위협이 피해를 일으키기 전에 효과적으로 식별하고 차단할 수 있습니다.

이메일은 대표적인 사이버 공격 및 랜섬웨어 벡터이므로 이메일을 보호하는 것이 필수적입니다. 저희의 DMARC 분석기이메일 보안에 필요한 원스톱 솔루션입니다! 무료 체험을 통해 사용해 보세요. 무료 평가판 무료 평가판을 사용해 보세요.

아호나 루드라의 최신 포스트 (전체 보기)
모바일 버전 종료