Operasi ransomware LostTrust diyakini merupakan rebranding dari MetaEncryptor, memanfaatkan situs kebocoran data dan enkripsi yang hampir sama.
LostTrust mulai menyerang organisasi pada bulan Maret 2023 tetapi baru diketahui secara luas pada bulan September, ketika mereka mulai memanfaatkan situs kebocoran data.
Saat ini, situs kebocoran data tersebut mencantumkan 53 korban di seluruh dunia, dan beberapa datanya sudah bocor karena tidak membayar uang tebusan.
Tidak jelas apakah geng ransomware hanya menargetkan perangkat Windows atau apakah mereka juga menggunakan enkripsi Linux.
Baca juga: Serangan Ransomware Ganda |
Rebranding MetaEncryptor
MetaEncryptor adalah operasi ransomware yang diyakini diluncurkan pada Agustus 2022, mengumpulkan dua belas korban di situs kebocoran data mereka hingga Juli 2023, setelah itu tidak ada korban baru yang ditambahkan ke situs tersebut.
Bulan ini, situs kebocoran data baru untuk geng ‘LostTrust’ diluncurkan, dan peneliti keamanan segera menyadari bahwa situs tersebut menggunakan templat dan bio yang sama persis dengan situs kebocoran data MetaEncryptor.
“Kami adalah sekelompok anak muda yang mengidentifikasi diri mereka sebagai spesialis di bidang keamanan jaringan dengan pengalaman minimal 15 tahun,” demikian bunyi deskripsi di situs kebocoran data MetaEncryptor dan LostTrust.
“Blog dan karya ini HANYA untuk tujuan komersial, selain itu bukan untuk tujuan utama. Kami tidak ada hubungannya dengan politik, badan intelijen, dan NSB.”
Ditemukan bahwa enkripsi LostTrust [VirusTotal] dan MetaEncryptor [VirusTotal] hampir identik, dengan beberapa perubahan kecil pada catatan tebusan, kunci publik yang disematkan, nama catatan tebusan, dan ekstensi file terenkripsi.
Lebih lanjut, peneliti keamanan siber MalwareHunterTeam mengatakan kepada BleepingComputer bahwa LostTrust dan MetaEncryptor didasarkan pada enkripsi ransomware SFile2. Hubungan ini selanjutnya didukung oleh pemindaian Intezer yang menunjukkan banyak kode yang tumpang tindih antara enkripsi LostTrust dan SFile.
Karena tumpang tindih yang signifikan antara kedua operasi tersebut, LostTrust diyakini merupakan rebranding dari operasi MetaEncryptor.
Baca juga: Fenomena Ransomware Baru Bermunculan |
Enkripsi LostTrust
Ditemukan juga beberapa sampel enkripsi LostTrust dan telah dilakukan analisis singkat.
Enkripsi dapat diluncurkan dengan dua argumen baris perintah opsional, –onlypath (mengenkripsi jalur tertentu) dan –enable-shares (mengenkripsi berbagi jaringan).
Saat diluncurkan, enkripsi akan membuka konsol yang menampilkan status proses enkripsi saat ini, seperti yang ditunjukkan di bawah ini.
Perhatikan string ‘METAENCRYPTING’ di enkripsi, yang menunjukkan bahwa itu adalah enkripsi MetaEncryptor yang dimodifikasi.
Saat dijalankan, LostTrust akan menonaktifkan dan menghentikan berbagai layanan Windows untuk memastikan semua file dapat dienkripsi, termasuk layanan apa pun yang berisi string Firebird, MSSQL, SQL, Exchange, wsbex, postgresql, BACKP, Tomcat, SBS, dan SharePoint.
Enkripsi juga akan menonaktifkan dan menghentikan layanan tambahan yang terkait dengan Microsoft Exchange.
Saat mengenkripsi file, enkripsi akan menambahkan ekstensi .losttrustencoded ke nama file terenkripsi.
Baca juga: 3 Fase Serangan Ransomware |
Ransom Notes
Catatan tebusan bernama !LostTrustEncoded.txt akan dibuat di setiap folder di perangkat, dengan pelaku ancaman memperkenalkan diri mereka sebagai peretas topi putih sebelumnya. Namun, setelah dibayar rendah, mereka memutuskan untuk beralih ke kejahatan dunia maya.
“Tim kami memiliki latar belakang yang luas dalam bidang hukum dan apa yang disebut peretasan topi putih. Namun, klien biasanya menganggap kerentanan yang ditemukan sebagai hal yang kecil dan bayaran yang rendah untuk layanan kami,” demikian bunyi catatan tebusan LostTrust.
“Jadi kami memutuskan untuk mengubah model bisnis kami. Sekarang Anda memahami betapa pentingnya mengalokasikan anggaran yang baik untuk keamanan TI.”
Catatan tebusan ini berisi informasi tentang apa yang terjadi pada file perusahaan dan menyertakan tautan unik ke situs negosiasi Tor milik geng ransomware.
Situs negosiasinya sederhana, dengan hanya fitur obrolan yang memungkinkan perwakilan perusahaan untuk bernegosiasi dengan pelaku ancaman.
BleepingComputer diberitahu bahwa permintaan tebusan untuk serangan LostTrust berkisar dari $100.000 hingga jutaan.
Situs Kebocoran Data Pemeras Korban
Seperti operasi ransomware lainnya, LostTrust menggunakan situs pembobolan data Tor yang digunakan untuk memeras perusahaan dengan mengancam akan membocorkan data mereka yang dicuri jika uang tebusan tidak dibayarkan.
LostTrust memiliki 53 korban di situs kebocoran datanya, dan beberapa perusahaan telah mengalami kebocoran data.
Saat ini, belum diketahui apakah membayar permintaan tebusan akan mengakibatkan penghapusan data dan dekripsi yang berfungsi.
Sumber berita: