클롭 랜섬웨어 갱단, 훔친 카드정보 10만개 결국 공개 확인돼…금융기관 긴급 대응필요

랜섬웨어 공격 갱단 클롭(Clop)조직이 드디어 오늘3일 부터 자신들이 약속한대로 이랜드그룹에서 탈취한 것으로 보이는 카드정보 10만개를 자신들이 운영하는 다크웹 사이트에 공개하기 시작했다. 이제는 이랜드그룹 보다는 국내 카드사에서 고객들의 2차 피해가 발생하지 않도록 신속한 조치를 취해야 할 타이밍이다.

토르 브라우저로 접속해 클롭 갱단의 사이트를 확인한 결과 ‘FIRST 100k TRACK2 CREDIT CARD RECORDS DOWNLOAD’라는 문구와 함께 다운로드를 클릭하면 10만개의 카드정보가 평문으로 보여진다.

https://www.dailysecu.com/news/articleView.html?idxno=117898

클롭 랜섬웨어 갱단은 3일 브리핑컴퓨터와 인터뷰에서 “이미 1년 전에 이랜드 네트워크를 침해했다. POC 악성코드를 설치하고 1년간 그대로 두면서 조용히 신용카드 정보를 훔쳐왔다. 물론 해독된 정보들이다. 그 결과 200만개 한국인 신용카드 정보에 대한 트랙2 데이터를 훔칠 수 있었다”고 밝혔다.

POS 악성코드는 신용카드 거래가 발생할 때 POS 단말기의 메모리를 스캔하는 데 사용된다. 신용카드 데이터가 탐지되면 악성코드는 신용카드 정보를 트랙1 또는 트랙2 데이터로 복사해 공격자 서버로 다시 전송한다.

클롭 갱들이 훔쳤다고 주장하는 신용카드는 신용카드 번호, 만료 날짜 및 기타 정보를 포함하는 트랙2 데이터 형식이다. 하지만 신용카드 CVV 코드가 포함되어 있지 않다. 이들은 매장 내 구매를 위해 가짜 신용 카드를 만드는 데만 사용할 수 있을 것으로 보인다.

한편 클롭 갱단은 오늘부터 지속적으로 매일 10만개씩 훔친 카드정보를 공개할 것으로 보여 심각한 상황이다. 이 정보는 인텔리전스 전문기업 NSHC가 최초 탐지했다.

허영일 NSHC 대표는 “현재 클롭 조직이 다크웹에 공개한 카드정보를 NSHC DarkTracer(다크트레이서)가 최초 탐지했다. 현재 카드사별로 카드정보를 분류한 상태며 유관기관과 카드사들의 요청이 있을 경우 신속하게 정보를 공유할 방침”이라며 “향후 지속적으로 카드 정보가 유포될 것으로 보여 한국인 피해를 최소화하기 위해 금융기관들의 신속한 대응이 필요한 시점”이라고 강조했다.

출처 : https://www.dailysecu.com/news/articleView.html?idxno=117898

위 포스팅이 문제될 시 삭제처리 하겠습니다.