Image credit: Freepix
Aliansi Baru Peretas Negara dan Ransomware – Lanskap ancaman siber dunia kembali dihebohkan dengan munculnya kemitraan strategis yang tidak biasa namun sangat mematikan.
Kelompok Lazarus, aktor ancaman tingkat negara yang didukung oleh Korea Utara (DPRK), dilaporkan telah mulai menggunakan ransomware Medusa dalam serangan terbaru mereka.
Kolaborasi ini menandai babak baru dalam aktivitas kriminal siber yang didorong oleh motif finansial, di mana kelompok spionase negara mulai “berbagi senjata” dengan geng kriminal murni.
Penelitian terbaru dari tim pemburu ancaman mengungkapkan bahwa Lazarus telah menjatuhkan payload Medusa dalam serangan terhadap sebuah organisasi besar di Timur Tengah.
Tidak berhenti di situ, kelompok ini juga terdeteksi melakukan upaya serangan terhadap organisasi layanan kesehatan di Amerika Serikat.
Tren ini menunjukkan bahwa keterlibatan Korea Utara dalam kejahatan siber tidak hanya berlanjut, tetapi semakin agresif dan tidak mengenal batas etika.
Mengapa Medusa
Kemitraan antara Lazarus dan Medusa dianggap sangat “serasi” bagi kedua belah pihak. Medusa, yang awalnya beroperasi secara tertutup, telah beralih ke model Ransomware-as-a-Service (RaaS).
Platform yang lebih terbuka pada tahun 2024. Geng ini dikenal memiliki rekam jejak panjang dalam menyerang ratusan organisasi infrastruktur kritis di seluruh dunia.
Bagi Lazarus, menggunakan infrastruktur Medusa memberikan keuntungan ganda:
- Pengalihan Identitas: Penggunaan ransomware pihak ketiga dapat membantu mengaburkan jejak keterlibatan langsung negara dalam serangan tersebut.
- Efisiensi Operasional: Dengan menggunakan payload Medusa yang sudah teruji, Lazarus tidak perlu mengembangkan perangkat pemerasan dari nol, sehingga mereka bisa lebih fokus pada teknik penyusupan dan pencurian data.
Peneliti mencatat bahwa meskipun banyak kelompok kriminal siber lain mengklaim menghindari target layanan kesehatan untuk menjaga reputasi, Lazarus justru sebaliknya.
Mereka tidak merasa terbatasi oleh norma apa pun, menjadikan sektor kesehatan sebagai target utama karena urgensi data yang ada di dalamnya.
Gabungan Alat Spionase dan Pemerasan
Dalam serangan yang dianalisis, peneliti menemukan campuran unik antara alat peretasan tradisional milik Lazarus dengan payload Medusa.
Meskipun penyerang hanya menggunakan “muatan” ransomware dari Medusa tanpa menggunakan alat pendukung lainnya, mereka tetap membawa persenjataan khas Lazarus yang sangat berbahaya:
- Comebacker: Sebuah backdoor (pintu belakang) yang digunakan untuk mempertahankan akses di dalam jaringan korban.
- Blindingcan: Remote Access Trojan (RAT) canggih yang memungkinkan penyerang mengendalikan sistem secara penuh dari jarak jauh.
- Infohook: Program pencuri informasi (infostealer) yang bertugas mengumpulkan data sensitif sebelum proses enkripsi dimulai.
Menariknya, meskipun Medusa dikenal mahir dalam teknik Bring-Your-Own-Vulnerable-Driver (BYOVD) sebuah taktik yang cukup unik.
Yakni menggunakan driver sah yang memiliki celah keamanan untuk mematikan antivirus, peneliti belum menemukan bukti bahwa Lazarus menggunakan teknik ini dalam kampanye terbaru mereka.
Namun, tim keamanan tetap diperingatkan untuk waspada karena teknik BYOVD kini menjadi standar baru di kalangan geng ransomware untuk melumpuhkan pertahanan perusahaan.
|
Baca juga: Kedok Privasi Telegram |
Memperkuat Pertahanan
Untuk menghadapi ancaman kolaboratif ini, para peneliti menyarankan strategi pertahanan yang lebih agresif:
- Blokir Driver Berbahaya: Mengingat tren BYOVD, tim IT harus secara aktif memblokir daftar driver yang diketahui rentan dan sering disalahgunakan oleh penyerang.
- Monitor Kenaikan Hak Akses (Privilege Escalation): Penyerang membutuhkan hak akses tinggi untuk memasukkan driver atau alat spionase ke dalam sistem. Pemantauan ketat terhadap aktivitas akun administrator sangatlah penting.
- Deteksi Perilaku (Behavioral Monitoring): Karena penyerang sering menggunakan alat yang sah, fokuslah pada deteksi perilaku aneh seperti proses yang mencoba mematikan solusi keamanan atau pemindaian jaringan internal secara masif.
Aliansi antara Lazarus Group dan geng Medusa adalah pengingat bahwa ancaman siber terus berevolusi melalui kolaborasi yang tidak terduga.
Penjahat siber kini saling bertukar alat dan teknik untuk meningkatkan dampak serangan mereka. Bagi organisasi, terutama di sektor infrastruktur kritis, pertahanan tidak bisa lagi bersifat statis.
Hanya dengan pemahaman yang mendalam mengenai taktik peretas dan kesiapan teknis yang matang, kita dapat melindungi data dan layanan publik dari pemerasan siber berskala global ini.
Sumber berita:
