image credit: Pixabay.com
Sepak terjang ransomware RansomHub belakangan menyita perhatian peneliti keamanan di dunia yang terus menimbulkan masalah di berbagai sektor.
Aktor di balik skema Ransomware as a Service (RaaS) RansomHub telah diamati memanfaatkan kelemahan keamanan yang kini telah ditambal di Microsoft Active Directory dan protokol Netlogon.
Yakni kelemahan untuk meningkatkan hak istimewa dan memperoleh akses tidak sah ke pengontrol domain jaringan korban sebagai bagian strategi pasca-kompromi.
Sejauh ini RansomHub telah menargetkan lebih dari 600 perusahaan di seluruh dunia, yang mencakup berbagai sektor seperti:
- Perawatan kesehatan.
- Keuangan.
- Pemerintahan.
- Infrastruktur penting.
Dengan segala aktivitasnya tersebut tegas Ransomware RansomHub sebagai kelompok ransomware paling aktif pada tahun 2024 lalu.
|
Baca juga: Panduan Ransomware Singkat |
Ransomware RansomHub
Kelompok ransomware ini pertama kali muncul pada bulan Februari 2024, memperoleh kode sumber yang terkait dengan geng Knight (sebelumnya Cyclops) RaaS yang kini sudah tidak ada lagi dari forum kejahatan dunia maya RAMP untuk mempercepat operasinya.
Sekitar lima bulan kemudian, versi terbaru dari loker tersebut diiklankan di pasar gelap dengan kemampuan untuk mengenkripsi data dari jarak jauh melalui protokol SFTP.
RansomHub hadir dalam beberapa varian yang mampu mengenkripsi file di Windows, VMware ESXi, dan server SFTP. RansomHub juga telah diamati secara aktif merekrut afiliasi dari grup LockBit dan BlackCat sebagai bagian dari program kemitraan, yang menunjukkan upaya untuk memanfaatkan tindakan penegakan hukum yang menargetkan para pesaingnya.
Dalam insiden yang dianalisis, pelaku ancaman tersebut telah gagal mengeksploitasi kelemahan kritis yang memengaruhi perangkat Palo Alto Networks PAN-OS (CVE-2024-3400) menggunakan bukti konsep (PoC) yang tersedia untuk umum, sebelum akhirnya membobol jaringan korban melalui serangan brute-force terhadap layanan VPN.
Menurut peneliti upaya brute force ini didasarkan pada serangan kamus yang diperkaya lebih dari 5.000 nama pengguna dan kata sandi.
Pelaku akhirnya memperoleh akses melalui akun default yang sering digunakan dalam solusi pencadangan data, dan perimeter akhirnya berhasil dibobol.
|
Baca juga: 3 Fase Serangan Ransomware |
Modus Operandi
Akses awal tersebut kemudian disalahgunakan untuk melakukan serangan ransomware, dengan enkripsi dan eksfiltrasi data yang terjadi dalam waktu 24 jam setelah peretasan.
Secara khusus, hal tersebut melibatkan penggunaan dua kelemahan keamanan yang diketahui dalam Active Directory yakni:
- (CVE-2021-42278 alias noPac)
- Protokol Netlogon (CVE-2020-1472 alias ZeroLogon)
Yang memiliki tujuan untuk menguasai pengontrol domain dan melakukan pergerakan lateral di seluruh jaringan.
Eksploitasi kerentanan yang disebutkan di atas memungkinkan penyerang memperoleh akses istimewa penuh ke pengontrol domain yang merupakan pusat infrastruktur berbasis Microsoft Windows.
Setelah operasi eksfiltrasi selesai, penyerang menyiapkan lingkungan untuk fase akhir serangan.
Penyerang beroperasi untuk membuat semua data perusahaan, yang disimpan di berbagai NAS, sama sekali tidak dapat dibaca dan diakses.
Selain itu, data tersebut juga tidak dapat dipulihkan, dengan tujuan memaksa korban membayar tebusan untuk mendapatkan kembali data mereka.
Aspek penting lain dari serangan tersebut adalah penggunaan PCHunter untuk menghentikan dan melewati solusi keamanan endpoint, serta Filezilla untuk eksfiltrasi data.
|
Baca juga: Tren Ransomware 2025 |
RansomHub dan Afiliasi
Asal-usul kelompok RansomHub, dari operasi ofensifnya dan karakteristiknya yang tumpang tindih dengan kelompok lain mengonfirmasi keberadaan ekosistem kejahatan dunia maya yang nyata.
Lingkungan ini berkembang pesat dengan berbagi, menggunakan kembali, dan mengubah citra alat dan kode sumber, yang memicu pasar gelap yang kuat di mana korban yang terkenal, kelompok yang terkenal, dan sejumlah besar uang memainkan peran utama.
Perkembangan ini terjadi saat peneliti merinci cara kerja internal operator RaaS yang dikenal sebagai Lynx, mengungkap alur kerja afiliasi mereka, gudang ransomware lintas platform mereka untuk lingkungan Windows, Linux, dan ESXi, serta mode enkripsi yang dapat disesuaikan.
Analisis ransomware versi Windows dan Linux menunjukkan bahwa ransomware tersebut sangat mirip dengan ransomware INC, yang menunjukkan bahwa pelaku ancaman kemungkinan memperoleh kode sumber ransomware INC.
Afiliasi diberi insentif dengan pembagian hasil tebusan sebesar 80%, yang mencerminkan strategi kompetitif yang didorong oleh perekrutan.
Lynx baru-baru ini menambahkan beberapa mode enkripsi:
- Cepat.
- Sedang.
- Lambat.
- Lengkap.
yang memberikan afiliasi kebebasan untuk menyesuaikan keseimbangan antara kecepatan dan kedalaman enkripsi file.
Postingan perekrutan grup di forum bawah tanah menekankan proses verifikasi yang ketat untuk pentester dan tim intrusi yang terampil, yang menyoroti penekanan Lynx pada keamanan operasional dan kontrol kualitas.
Mereka juga menawarkan pusat panggilan untuk korban dan solusi penyimpanan canggih untuk afiliasi yang secara konsisten memberikan hasil yang menguntungkan.
Demikian pokok bahasan kita kali ini mengenai sepak terjang ransomware RansomHub, semoga informasi yang dipaparkan di atas dapat bermanfaat.
Sumber berita:
