Conti Adopsi BazarCall

Kelompok penjahat siber Conti setelah operasi mereka ditutup pada bulan April 2022. Eks grup Conti adopsi BazarCall setelah memecah diri menjadi 3 kelompok:

  1. Silent Ransom Group
  2. Quantum
  3. Roy/Zeon

Ketiga kelompok mantan geng Conti tersebut kini mengadopsi taktik phising BazarCall sebagai metode utama mendapatkan akses awal ke jaringan korban.

Hal ini memungkinkan pelaku untuk menyebarkan serangan bertarget tinggi yang lebih sulit dideteksi dan dihentikan karena komponen social engineering.

Baca juga: Geng Ransomware Conti Mengambil alih TrickBot

Metode BazarCall

Metode BazarCall/BazaCall juga disebut sebagai call-back phising, muncul pada awal tahun 2021 sebagai vektor serangan yang digunakan oleh operasi ransomware Ryuk, yang kemudian diganti namanya menjadi Conti.

Pelaku yang menggunakan teknik ini menargetkan karyawan dari satu perusahaan atau seluruh industri, dan menyesuaikan kampanye phising untuk efisiensi maksimum.

  • Serangan BazarCall dimulai dengan email yang menginformasikan bahwa langganan yang menurut dugaan dibayar oleh penerima akan diperbarui secara otomatis dan untuk pembatalan pembayaran mereka harus menghubungi nomor tertentu.
  • Korban yang menghubungi nomor telepon yang diberikan akan diterima oleh pelaku yang berpengalaman dalam social engineering, yang meyakinkan penelepon untuk memulai sesi akses jarak jauh melalui perangkat lunak yang sah yang dikendalikan oleh penyusup jaringan.
  • Sementara pelaku mengalihkan perhatian korban, penyusup menentukan cara mengkompromikan jaringan tanpa memicu kecurigaan apa pun.

Peralihan ke social engineering disebabkan oleh prediktabilitas serangan, yang menyebabkan keuntungan berkurang karena ahli keamanan mulai menerapkan mitigasi yang efektif.

Namun, menipu manusia merupakan pendekatan yang lebih fleksibel dan dapat berubah dari satu kampanye ke kampanye lainnya, membuat serangan lebih sulit untuk diidentifikasi dan dipertahankan.

Silent Ransom Group (SRG)

Selama tiga bulan, SRG menargetkan setidaknya 94 perusahaan, dengan fokus hanya pada mencuri data dan memeras para korban.

Mereka biasanya mengirim pemberitahuan berlangganan palsu yang meniru pembelajaran bahasa Duolingo dan platform pendidikan online MasterClass dalam kampanye phising mereka.

Grup ini fokus pada entitas di sektor perawatan kesehatan dengan pendapatan tahunan antara $500.000 dan lebih dari $100 miliar, hampir 40% di antaranya dengan pendapatan di atas $1 miliar.

Para peneliti mengetahui beberapa target dan korban utama SRG sebagai:

  • Tim NBA
  • Produsen senjata multinasional dan perusahaan kedirgantaraan (data dicuri dalam pelanggaran)
  • Penyedia solusi TI besar
  • Perusahaan teknologi dan perangkat lunak multi-miliar dolar
  • Pemasok pipa besar dan HVAC

Baca juga: Komentar ESET Tentang Gang Ransomware Conti

Quantum

Pada pertengahan Juni 2022, ransomware Quantum, sempalan lain dari Conti, mulai menggunakan versi BazarCall mereka dalam operasi bernama “Jörmungandr” (Ular Midgard atau Ular Dunia dalam Mitologi Nordik).

Pelaku mengembangkan operasi dengan mempekerjakan orang yang berspesialisasi dalam spamming, OSINT, desain, dan operator pusat panggilan.

Operasi BazarCall yang dikaitkan dengan grup Quantum telah berkembang lebih canggih dalam waktu dua bulan dan menargetkan perusahaan terkenal berdasarkan kumpulan data email eksklusif yang mereka beli.

Untuk operasi phishing BazarCall, Quantum meniru brand dalam jumlah yang jauh lebih besar.

  • Ginyard International
  • “Azure Dragon” (Azure Storage)
  • Oracle
  • HelloFresh
  • Luchechko Mortgage Team
  • US Equal Opportunity Employment Commission
  • Gobble

Di tahap awal, Quantum bereksperimen dengan email BazarCall yang meniru Oracle dan mengirimkan pesan phising ke lebih dari 200.000 penerima.

Kemudian, mereka menyebarkan kampanye yang lebih canggih, meniru komunikasi dari perusahaan keamanan siber tentang aktivitas abnormal di jaringan korban.

Dalam operasi phising lanjutan lainnya, Quantum menargetkan bank dengan email yang meniru merek Luchechko yang menyampaikan pemberitahuan tentang target yang mendiskriminasi individu yang mengajukan pinjaman berdasarkan etnis mereka.

Menurut laporan, Quantum menggunakan Jörmungandr, BazarCall versi mereka, untuk menargetkan lima “perusahaan berskala besar” dengan pendapatan tahunan lebih dari $20 miliar, sebagian besar di sektor perawatan kesehatan.

Salah satunya adalah Managed Service Provider (MSP) yang akan memungkinkan akses ke ratusan bisnis dan menempatkan mereka pada risiko mengenkripsi mereka, mirip dengan serangan ransomware REvil di Kaseya tahun lalu.

Ketika mereka memperoleh akses ke jaringan korban, peretas Quantum biasanya mencuri data dan mengenkripsi sistem.

Baca juga: ESET Teknologi yang Mampu Beradaptasi dengan Ancaman Digital

Roy/Zeon

Roy/Zeon, merupakan nama dua ransomware (Roy dan Zeon) yang mereka gunakan untuk mengenkripsi jaringan korban.

kelompok ini paling mahir dalam social engineering dan sangat selektif dengan target mereka, memilih perusahaan dengan pendapatan tahunan yang tinggi atau dari industri yang sensitif.

Mereka menggunakan BazarCall pada 20 Juni dalam operasi yang meniru sejumlah brand terbesar, banyak di antaranya adalah vendor perangkat lunak yang digunakan oleh perusahaan dalam industri tertentu:

  • Sygnal Partners
  • iWired
  • Applied Automation Tech
  • RMM Central
  • Itarian
  • Auvik
  • RemotePC
  • RentoMojo
  • Parcel International
  • WhatFix
  • EZLynx
  • EATclub Canada
  • Standard Notes

Selain itu, Roy/Zeon juga menyamar sebagai karyawan sebenarnya dari perusahaan manajemen solusi perangkat lunak Edifecs, sehingga meningkatkan rasa legitimasi setelah verifikasi sepintas identitas pengirim.

Dalam kampanye terbarunya, mereka menargetkan lembaga keuangan dengan pemberitahuan palsu dari vendor Standard Notes, aplikasi pencatat yang menampilkan enkripsi ujung ke ujung.

Roy/Zeon Gunakan Phising BazarCall

Roy/Zeon menggunakan teknik BazarCall sebagai vektor serangan awal di “otoritas perumahan utama di timur laut New Jersey,” yang menyebabkan enkripsi lebih dari 130 server dan 500 workstation.

Pelaku ancaman menggunakan VPN yang tidak terlindungi untuk mendapatkan akses ke jaringan perusahaan dan mencuri 600GB data. Kelompok tersebut menuntut uang tebusan $5,5 juta dan mengancam akan merilis dokumen yang diduga berisi bukti aktivitas penggelapan.

Para peneliti dapat mengidentifikasi delapan korban lain dari kampanye BazarCall Roy/Zeon, muai dari perusahaan layanan lanskap, obat, komponen logam, layanan mobil-mobil mewahsampai majalah.

Tiga kelompok yang mengadopsi taktik BazarCall untuk membobol perusahaan telah menunjukkan bahwa bisnis pemerasan, baik dengan hanya mencuri data atau digabungkan dengan enkripsi jaringan, masih bisa menguntungkan.

 

Baca lainnya: 

 

Sumber berita:

 

BleepingComputer