Ransomware telah mengalami perjalanan seperti rollercoaster dari pertumbuhan eksplosif pada tahun 2021 ke penurunan sesaat pada tahun 2022 dan peningkatan ancaman ransomware 2023. Dan ransomware pendatang baru 2024 yang harus diwaspadai.
2023 ransomware bangkit kembali dengan semangat yang sama seperti tahun 2021, mendorong kelompok-kelompok yang sudah ada dan mengantarkan gelombang pendatang baru tangguh yang patut diwaspadai di 2024.
Kelompok ini merupakan kontributor besar terhadap lonjakan serangan ransomware pada tahun 2023, namun mereka bukanlah satu-satunya kelompok yang bertanggung jawab.
Banyak serangan datang dari geng ransomware yang sedang berkembang seperti 8Base, Rhysida, 3AM, Malaslocker, BianLian, Play, Akira, dan lainnya.
Baca juga: Panduan Ransomware Singkat |
Ransomware Pendatang Baru 2024
Pembahasan kali ini kita akan membahas 3 ransomware pendatang baru 2024 sebagai pemain baru di industri ilegal ini, sebagai berikut:
1. Ransomware 3AM
Jenis ransomware baru yang ditemukan bernama 3AM telah muncul, namun penggunaannya sejauh ini masih terbatas. Pada tahun 2023, mereka hanya berhasil memberikan dampak pada 20+ organisasi (kebanyakan di Amerika Serikat).
Namun, mereka mendapatkan ketenaran karena afiliasi ransomware yang mencoba menyebarkan LockBit pada jaringan target yang beralih ke jam 3 pagi ketika LockBit diblokir.
Keluarga ransomware baru sering muncul, dan sebagian besar menghilang dengan cepat atau tidak pernah berhasil mendapatkan daya tarik yang signifikan.
Namun, fakta bahwa 3AM digunakan sebagai cadangan oleh afiliasi LockBit menunjukkan bahwa ini mungkin menarik bagi penyerang dan dapat dilihat lagi di masa mendatang.
Menariknya, 3AM dikodekan dalam Rust dan tampaknya merupakan keluarga malware yang sepenuhnya baru. Ini mengikuti urutan tertentu: ia mencoba menghentikan beberapa layanan di komputer yang disusupi sebelum memulai proses enkripsi file.
Setelah menyelesaikan enkripsi, ia mencoba menghapus Volume Shadow Copy. Potensi hubungan apa pun antara pengembangnya dan organisasi kejahatan dunia maya yang diketahui masih belum jelas.
Aktivitas mencurigakan pelaku ancaman dimulai dengan penggunaan perintah gpresult untuk mengekstrak pengaturan kebijakan yang diterapkan di komputer untuk pengguna tertentu.
Selanjutnya, mereka mengeksekusi berbagai komponen Cobalt Strike dan melakukan upaya untuk meningkatkan hak istimewa pada komputer menggunakan PsExec.
Setelah itu, penyerang melakukan pengintaian melalui perintah seperti whoami, netstat, quser, dan net share. Mereka juga berusaha mengidentifikasi server lain untuk pergerakan lateral menggunakan perintah quser dan net view.
Baca juga: Nafas panjang Ransomware |
Teknologi Ketinggalan Jaman
Selain itu, mereka membuat akun pengguna baru untuk menjaga persistensi dan menggunakan alat Wput untuk mentransfer file korban ke server FTP mereka.
Penggunaan skrip Yugeon Web Clicks dari tahun 2004 mungkin tampak membingungkan pada pandangan pertama.
Hal ini menimbulkan pertanyaan tentang mengapa kelompok ransomware yang baru muncul memilih teknologi ketinggalan jaman tersebut. Namun, ada beberapa alasan potensial untuk pilihan ini, termasuk:
-
Ketidakjelasan: Skrip dan teknologi lama mungkin tidak dikenali secara umum oleh alat keamanan modern, sehingga mengurangi kemungkinan deteksi.
-
Kesederhanaan: Skrip lama mungkin menyediakan fungsionalitas langsung tanpa kerumitan yang sering dikaitkan dengan skrip modern, sehingga penerapan dan pengelolaan menjadi lebih mudah.
-
Terlalu percaya diri: Kelompok tersebut mungkin memiliki tingkat kepercayaan yang tinggi terhadap kemampuan mereka dan mungkin tidak melihat perlunya berinvestasi pada teknologi yang lebih maju, khususnya untuk situs web mereka.
Penting untuk diingat bahwa pilihan ini menghadapkan kelompok pada risiko tertentu. Penggunaan teknologi usang yang diketahui memiliki kerentanan dapat membuat operasi mereka rentan terhadap serangan eksternal, tindakan pencegahan, atau potensi sabotase oleh pelaku ancaman lainnya.
Pilihan kelompok ransomware 3AM untuk menggunakan skrip PHP yang sudah ketinggalan zaman merupakan bukti sifat penjahat dunia maya yang tidak dapat diprediksi.
Meskipun mereka menggunakan jenis ransomware tingkat lanjut untuk menargetkan organisasi, pemilihan teknologi backend mereka mungkin dipengaruhi oleh kombinasi pertimbangan strategis, kenyamanan, dan terlalu percaya diri.
Hal ini menggarisbawahi pentingnya bagi organisasi untuk tetap waspada dan mengadopsi pendekatan keamanan holistik, menyadari bahwa ancaman dapat muncul baik dari teknologi tercanggih maupun teknologi kuno.
2. Ransomware Rhysida
Grup ransomware Rhysida menjadi sorotan pada Mei/Juni 2023 ketika mereka meluncurkan portal obrolan dukungan korban yang dapat diakses melalui situs TOR (.onion).
Mereka mengklaim sebagai “tim Keamanan Siber” yang bertindak demi kepentingan terbaik korbannya, menargetkan sistem mereka dan menyoroti kerentanannya.
Pada bulan Juni, Rhysida menarik perhatian setelah secara terbuka mengungkapkan dokumen Chilean Arm yang dicuri dari situs kebocoran data mereka.
Kelompok ini menjadi terkenal karena serangan mereka terhadap institusi layanan kesehatan, termasuk Prospect Medical Holdings., sehingga lembaga pemerintah dan perusahaan keamanan siber terkemuka melacak mereka dengan cermat.
Mereka telah menargetkan beberapa entitas terkenal, termasuk British Library, tempat mereka menyebabkan pemadaman teknologi besar-besaran dan menjual PII curian secara online, dan Insomniac Games, pengembang video game milik Sony. Mereka telah menunjukkan jangkauan luas di berbagai industri.
Baca juga: Persiapan Menghadapi Ransomware |
3. Grup Akira
Grup Akira, ditemukan pada Maret 2023 dan telah memakan korban 81 orang hingga saat ini. Penelitian awal menunjukkan adanya hubungan yang kuat antara kelompok tersebut dan kelompok ransomware terkenal, Conti.
Kebocoran source code Conti telah menyebabkan banyak pelaku memanfaatkan kode Conti untuk membuat atau mengadaptasi kode mereka sendiri.
Sehingga sulit untuk menentukan kelompok mana yang memiliki koneksi ke Conti dan kelompok mana yang hanya memanfaatkan kode yang bocor tersebut.
Namun, Akira memberikan petunjuk tertentu yang menunjukkan koneksi ke Conti, mulai dari kesamaan dalam pendekatan mereka hingga pengabaian jenis file dan direktori yang sama, serta penggabungan fungsi yang sebanding.
Selain itu, Akira menggunakan algoritma ChaCha untuk enkripsi file, yang diimplementasikan dengan cara yang mirip dengan ransomware Conti.
Terakhir, individu di balik ransomware Akira mengarahkan pembayaran tebusan lengkap ke alamat yang terkait dengan grup Conti.
Akira menawarkan ransomware-as-a-service, yang memengaruhi sistem Windows dan Linux. Mereka memanfaatkan DLS (situs kebocoran data) resmi mereka.
Uuntuk mempublikasikan informasi tentang korban mereka dan informasi terkini mengenai aktivitas mereka. Para pelaku ancaman terutama terkonsentrasi di AS, meskipun mereka juga menargetkan Inggris, Australia, dan negara-negara lain.
Mereka mengambil dan mengenkripsi data untuk memaksa korban membayar uang tebusan ganda, baik untuk mendapatkan kembali akses maupun memulihkan file mereka.
Di hampir semua kasus penyusupan, Akira memanfaatkan kredensial yang dikompromikan untuk mendapatkan pijakan awal di lingkungan korban.
Menariknya, sebagian besar organisasi yang menjadi sasaran telah lalai menerapkan autentikasi multi-faktor (MFA) pada VPN mereka.
Meskipun asal muasal kredensial yang disusupi ini masih belum diketahui secara pasti, ada kemungkinan bahwa pelaku ancaman mendapatkan akses atau kredensial dari dark web.
Sumber berita: