Dahulu ide pengembang ransomware tida mengenakan uang tebusan dengan jumlah yang besar dengan alasan korban mau langsung membayar. Ide tersebut kini telah menjadi usang, mereka semakin serakah apalagi jika mengetahui targetnya menjadi korban adalah perusahaan besar dengan penghasilan tinggi.
Data tentu sangat penting bagi sebuah perusahaan, terlebih lagi jika berkaitan dengan kelanggengan usaha mereka, pelaku di balik serangan ransomware juga sangat memahami ini, mereka sekarang sudah tidak tedeng aling-aling lagi, begitu korban jatuh dari perusahaan kakap tidak tangung-tanggung jutaan dolar jadi tebusannya.
Hal ini terjadi pada korban ransomware Ryuk yang diperas sebesar 34 juta dolar dari satu korban dengan imbalan kunci dekripsi untuk memulihkan data di komputer mereka. ESET mendeteksi ransomware Ryuk dan mengenalinya sebagai Win32/Filecoder.NRY.
Pelaku ancaman sangat mahir bergerak secara lateral di dalam jaringan yang disusupi dan menghapus sebanyak mungkin jejak mereka sebelum meracuni jaringan dengan ransomware Ryuk.
One
Kelompok ini menyebut dirinya sebagai One, sesuai dengan identifikasi yang diterima dari botnet Trickbot yang memfasilitasi intrusi jaringan untuk malware pengenkripsi file Ryuk, pelaku ancaman ini tidak bermoral dalam hal target.
Korban baru-baru ini dari kelompok One melalui Ryuk termasuk perusahaan di bidang teknologi, perawatan kesehatan, energi, layanan keuangan, dan sektor pemerintah. Organisasi di segmen perawatan kesehatan dan layanan sosial menyumbang lebih dari 13% dari semua korban yang ditindas oleh kelompok One.
Berita terbaru tentang laporan ransomware Ryuk tentang jaringan terenkripsi milik Universal Health Services (UHS), perusahaan layanan TI liga besar Sopra Steria, firma hukum Seyfarth Shaw, raksasa perabot kantor Steelcase, dan rumah sakit di Brooklyn dan Vermont.
Berdasarkan penelitian diketahui bahwa pembayaran rata-rata yang diterima oleh grup khusus ini adalah 48 bitcoin atau mendekati $750.000, dan mereka menghasilkan setidaknya $150 juta sejak 2018.
Dalam sebuah laporan, pelaku serangan ransomware Ryuk ini terkenal dingin selama negosiasi dan jarang menunjukkan kelonggaran apapun. Pembayaran terkonfirmasi terbesar yang mereka dapatkan adalah 2.200 bitcoin, yang saat ini mendekati 34 juta dolar.
Serangan 15 langkah
Menganalisis aliran serangan dari keterlibatan respons insiden, tercatat bahwa Ryuk mengelompokkan menggunakan 15 langkah untuk menemukan host yang tersedia di jaringan, mencuri kredensial tingkat admin, dan menyebarkan ransomware Ryuk.
Mereka mendapatkan perangkat lunak yang awalnya sebagian besar open source-nya juga digunakan untuk menguji keamanan jaringan:
Mimikatz – alat pasca eksploitasi untuk membuang kredensial dari memori
PowerShell PowerSploit – kumpulan skrip PowerShell yang digunakan untuk pasca-eksploitasi
LaZagne – mirip dengan Mimikatz, digunakan untuk mengumpulkan kata sandi dari perangkat lunak yang disimpan secara lokal
AdFind – Alat kueri Direktori Aktif
Bloodhound – alat pasca eksploitasi untuk menghitung dan memvisualisasikan domain Active Directory, lengkap dengan perangkat, pengguna yang masuk, sumber daya, dan izin
PsExec – memungkinkan menjalankan proses pada sistem jarak jauh
Berikut rincian langkah lengkap serangan itu, menambahkan perintah Cobalt Strike yang telah dihapus:
-
- Periksa admin domain melalui skrip “Invoke-DACheck”
-
- Kumpulkan kata sandi host melalui Mimikatz “sekurlsa mimikatz :: logonpasswords”
-
- Kembalikan token dan buat token untuk komentar administratif dari keluaran perintah Mimikatz
-
- Tinjau jaringan host melalui “tampilan bersih”
-
- Portscan untuk protokol FTP, SSH, SMB, RDP, VNC
-
- Buat daftar akses pada host yang tersedia
-
- Unggah kit “AdFind” pencari direktori aktif dengan skrip batch “adf.bat” dari “tampilan bersih” dan host yang dipindai
-
- Tampilkan nama antivirus pada host melalui perintah “WMIC”
-
- Unggah alat pemulihan kata sandi multi-tujuan “LaZagne” untuk memindai host
-
- Hapus alat pemulihan kata sandi
-
- Jalankan ADFind dan simpan keluaran
-
- Hapus artefak alat AdFind dan unduh keluarannya
-
- Berikan akses penuh berbagi bersih ke semua untuk ransomware Ryuk
-
- Unggah perangkat lunak eksekusi jarak jauh “PSExec” dan siapkan host jaringan dan hapus instalan produk anti-virus
-
- Unggah skrip batch eksekusi dan host jaringan yang diurai dan jalankan Ryuk ransomware melalui PsExec di bawah pengguna yang disusupi berbeda
Geng Trickbot mulai menyebarkan backdoor BazarLoader setidaknya sejak April 2020 melalui kampanye spear phising. Tidak seperti malware Trickbot yang sangat terdeteksi, malware tersebut kemungkinan besar disediakan untuk korban yang punya nilai tinggi pada awalnya, untuk menyebarkan Cobalt Strike yang menyediakan akses jarak jauh ke operator.
Akhir-akhir ini, upaya phising dengan malware ini semakin sering dilakukan, menggunakan umpan yang disesuaikan dengan waktu serangan (liburan, acara tertentu) atau tema yang memberikan pinjaman setiap saat sepanjang tahun.
