구글 클라우드는 최근 랜섬웨어 그룹 클롭(Clop)과의 연관성을 주장하는 위협 행위자의 활동을 적극적으로 추적하고 있다고 2일 밝혔다.

이날 구글 클라우드에 따르면, 악명 높은 랜섬웨어 그룹 클롭과 연계된 것으로 추정되는 공격자들이 오라클 E-비즈니스에서 데이터를 탈취했다고 주장하며 오라클 고객에게 몸값을 요구하는 사례가 발생했다.

구글 클라우드는 현재 수백개의 해킹된 계정을 이용한 대규모 '이메일 캠페인(해킹한 계정을 통해 조직적으로 벌이는 피싱·랜섬웨어 유포 작전)'이 진행되고 있는 상황을 포착했다. 초기 분석 결과 이 중 최소 한개의 계정이 'FIN11' 위협 그룹과 연관된 것으로 확인됐다고 구글 클라우드는 설명했다. FIN11은 금전적 이익을 목적으로 장기간 공격을 감행하며, 랜섬웨어를 배포하고 돈을 요구하는 활동으로 악명 높은 조직이다.

악성 이메일에는 두 공격자의 연락처가 포함됐으며, 구글 클라우드는 해당 연락처가 클롭 데이터 유출 사이트(DLS)에도 공개적으로 게시된 것을 파악했다. 이는 FIN11이 최근 클롭 데이터 유출 공격과 관련된 것을 암시하는 동시에 현재 FIN11이 작전을 위해 클롭의 인지도를 악용하고 있음을 시사한다고 구글 클라우드는 전했다.

찰스 카르마칼 구글 클라우드 맨디언트 컨설팅 최고기술책임자(CTO)는 "FIN11의 전술이 갈취 동기와 부합하고 이번 공격에 클롭 랜섬웨어 그룹이 연관됐다고 주장함에도 불구하고, 구글 위협 인텔리전스 그룹(GTIG)은 현재 이러한 주장의 진위를 판단할 만한 충분한 근거를 확인할 수 없었다"고 말했다.

이어 "금전적 동기를 가진 사이버 범죄 영역에서 위협 행위자를 식별하는 과정은 복잡하다"면서 "위협 행위자는 피해자에 대한 영향력과 압박을 높이기 위해 클롭과 같은 위협 그룹을 모방하는 경우가 빈번하다"고 부연했다.

구글 클라우드는 피해 조직에 자체 환경 조사를 실시해 위협 행위자의 공격 활동 증거를 확보하라고 조언했다.