Fenomena di dunia kejahatan siber kembali dengan munculnya kasus ransomware peralat Microsoft Azure, ini tentu saja mengancam semua pengguna Microsoft Azure di seluruh dunia.
Geng ransomware yang sedang naik daun seperti BianLian dan Rhysida semakin banyak menggunakan Azure Storage Explorer dan AzCopy milik Microsoft
Mereka menggunakan storage explore tersebut untuk mencuri data dari jaringan yang diretas dan menyimpannya di penyimpanan Azure Blob.
Storage Explorer adalah alat manajemen GUI untuk Microsoft Azure, sementara AzCopy adalah alat baris perintah yang dapat memfasilitasi transfer data skala besar ke dan dari penyimpanan Azure.
Dalam serangan yang diamati data yang dicuri kemudian disimpan dalam kontainer Azure Blob di cloud, yang nantinya dapat ditransfer oleh pelaku ancaman ke penyimpanan mereka sendiri.
Namun, para peneliti mencatat bahwa para penyerang harus bekerja ekstra untuk membuat Azure Storage Explorer berfungsi, termasuk menginstal dependensi dan memutakhirkan .NET ke versi 8.
Hal ini menunjukkan meningkatnya fokus pada pencurian data dalam operasi ransomware, yang merupakan daya ungkit utama bagi pelaku ancaman dalam fase pemerasan berikutnya.
Baca juga: Panduan Ransomware Singkat |
Alasan Kenapa Azure
Meskipun setiap kelompok ransomware memiliki perangkat eksfiltrasinya sendiri, kelompok ransomware umumnya menggunakan Rclone yang berfungsi untuk:
- Menyinkronkan file dengan berbagai penyedia cloud dan MEGAsync
- Dan untuk menyinkronkan dengan cloud MEGA.
Azure, sebagai layanan tepercaya tingkat perusahaan yang sering digunakan oleh perusahaan, tidak mungkin diblokir oleh firewall dan perangkat keamanan perusahaan.
Oleh karena itu, upaya transfer data melalui layanan ini lebih mungkin berhasil dan lolos tanpa terdeteksi sehingga memudahkan dalam penetrasi..
Selain itu, skalabilitas dan kinerja Azure, yang memungkinkannya menangani sejumlah besar data tidak terstruktur, sangat bermanfaat ketika penyerang mencoba mengeksfiltrasi sejumlah besar file dalam waktu sesingkat mungkin.
Dalam pengamatan pelaku ransomware menggunakan beberapa instans Azure Storage Explorer untuk mengunggah file ke kontainer blob, sehingga mempercepat proses tersebut semaksimal mungkin.
Baca juga: 3 Fase Serangan Ransomware |
Eksfiltrasi Ransomware
Para peneliti menemukan bahwa pelaku ancaman mengaktifkan pencatatan tingkat ‘Info’ default saat menggunakan Storage Explorer dan AzCopy, yang membuat file log di %USERPROFILE%\.azcopy.
Berkas log ini sangat berharga bagi responden insiden, karena berisi informasi tentang operasi berkas, yang memungkinkan penyelidik untuk segera menentukan:
- Data apa yang dicuri (UPLOADSUCCESSFUL) dan
- Muatan lain apa yang berpotensi diperkenalkan (DOWNLOADSUCCESSFUL).
Langkah-langkah pertahanan meliputi pemantauan untuk eksekusi AzCopy, lalu lintas jaringan keluar ke endpoint Azure Blob Storage di “.blob.core.windows.net”
Atau rentang IP Azure, dan pengaturan alarm untuk pola yang tidak biasa dalam penyalinan berkas atau akses pada server penting.
Jika Azure sudah digunakan dalam suatu organisasi, sebaiknya centang opsi ‘Logout on Exit’ untuk keluar secara otomatis setelah keluar dari aplikasi, untuk mencegah penyerang menggunakan sesi aktif untuk pencurian berkas.
Demikian topik bahasan kita kali ini mengenai ransomware peralat Microsoft Azure, semoga informasi tersebut dapat bermanfaat bagi para pembacanya.
Sumber berita: