Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • Sepak Terjang Ransomware RansomHub
  • Teknologi

Sepak Terjang Ransomware RansomHub

3 min read
Sepak Terjang Ransomware RansomHub

image credit: Pixabay.com

Sepak terjang ransomware RansomHub belakangan menyita perhatian peneliti keamanan di dunia yang terus menimbulkan masalah di berbagai sektor.

Aktor di balik skema Ransomware as a Service (RaaS) RansomHub telah diamati memanfaatkan kelemahan keamanan yang kini telah ditambal di Microsoft Active Directory dan protokol Netlogon.

Yakni kelemahan untuk meningkatkan hak istimewa dan memperoleh akses tidak sah ke pengontrol domain jaringan korban sebagai bagian strategi pasca-kompromi.

Sejauh ini RansomHub telah menargetkan lebih dari 600 perusahaan di seluruh dunia, yang mencakup berbagai sektor seperti:

  • Perawatan kesehatan.
  • Keuangan.
  • Pemerintahan.
  • Infrastruktur penting.

Dengan segala aktivitasnya tersebut tegas Ransomware RansomHub sebagai kelompok ransomware paling aktif pada tahun 2024 lalu.

Baca juga: Panduan Ransomware Singkat

Ransomware RansomHub

Kelompok ransomware ini pertama kali muncul pada bulan Februari 2024, memperoleh kode sumber yang terkait dengan geng Knight (sebelumnya Cyclops) RaaS yang kini sudah tidak ada lagi dari forum kejahatan dunia maya RAMP untuk mempercepat operasinya.

Sekitar lima bulan kemudian, versi terbaru dari loker tersebut diiklankan di pasar gelap dengan kemampuan untuk mengenkripsi data dari jarak jauh melalui protokol SFTP.

RansomHub hadir dalam beberapa varian yang mampu mengenkripsi file di Windows, VMware ESXi, dan server SFTP. RansomHub juga telah diamati secara aktif merekrut afiliasi dari grup LockBit dan BlackCat sebagai bagian dari program kemitraan, yang menunjukkan upaya untuk memanfaatkan tindakan penegakan hukum yang menargetkan para pesaingnya.

Dalam insiden yang dianalisis, pelaku ancaman tersebut telah gagal mengeksploitasi kelemahan kritis yang memengaruhi perangkat Palo Alto Networks PAN-OS (CVE-2024-3400) menggunakan bukti konsep (PoC) yang tersedia untuk umum, sebelum akhirnya membobol jaringan korban melalui serangan brute-force terhadap layanan VPN.

Menurut peneliti upaya brute force ini didasarkan pada serangan kamus yang diperkaya lebih dari 5.000 nama pengguna dan kata sandi.

Pelaku akhirnya memperoleh akses melalui akun default yang sering digunakan dalam solusi pencadangan data, dan perimeter akhirnya berhasil dibobol.

Baca juga: 3 Fase Serangan Ransomware

Modus Operandi

Akses awal tersebut kemudian disalahgunakan untuk melakukan serangan ransomware, dengan enkripsi dan eksfiltrasi data yang terjadi dalam waktu 24 jam setelah peretasan.

Secara khusus, hal tersebut melibatkan penggunaan dua kelemahan keamanan yang diketahui dalam Active Directory yakni:

  • (CVE-2021-42278 alias noPac)
  • Protokol Netlogon (CVE-2020-1472 alias ZeroLogon)

Yang memiliki tujuan untuk menguasai pengontrol domain dan melakukan pergerakan lateral di seluruh jaringan.

Eksploitasi kerentanan yang disebutkan di atas memungkinkan penyerang memperoleh akses istimewa penuh ke pengontrol domain yang merupakan pusat infrastruktur berbasis Microsoft Windows.

Setelah operasi eksfiltrasi selesai, penyerang menyiapkan lingkungan untuk fase akhir serangan.

Penyerang beroperasi untuk membuat semua data perusahaan, yang disimpan di berbagai NAS, sama sekali tidak dapat dibaca dan diakses.

Selain itu, data tersebut juga tidak dapat dipulihkan, dengan tujuan memaksa korban membayar tebusan untuk mendapatkan kembali data mereka.

Aspek penting lain dari serangan tersebut adalah penggunaan PCHunter untuk menghentikan dan melewati solusi keamanan endpoint, serta Filezilla untuk eksfiltrasi data.

Baca juga: Tren Ransomware 2025

RansomHub dan Afiliasi

Asal-usul kelompok RansomHub, dari operasi ofensifnya dan karakteristiknya yang tumpang tindih dengan kelompok lain mengonfirmasi keberadaan ekosistem kejahatan dunia maya yang nyata.

Lingkungan ini berkembang pesat dengan berbagi, menggunakan kembali, dan mengubah citra alat dan kode sumber, yang memicu pasar gelap yang kuat di mana korban yang terkenal, kelompok yang terkenal, dan sejumlah besar uang memainkan peran utama.

Perkembangan ini terjadi saat peneliti merinci cara kerja internal operator RaaS yang dikenal sebagai Lynx, mengungkap alur kerja afiliasi mereka, gudang ransomware lintas platform mereka untuk lingkungan Windows, Linux, dan ESXi, serta mode enkripsi yang dapat disesuaikan.

Analisis ransomware versi Windows dan Linux menunjukkan bahwa ransomware tersebut sangat mirip dengan ransomware INC, yang menunjukkan bahwa pelaku ancaman kemungkinan memperoleh kode sumber ransomware INC.

Afiliasi diberi insentif dengan pembagian hasil tebusan sebesar 80%, yang mencerminkan strategi kompetitif yang didorong oleh perekrutan.

Lynx baru-baru ini menambahkan beberapa mode enkripsi:

  • Cepat.
  • Sedang.
  • Lambat.
  • Lengkap.

yang memberikan afiliasi kebebasan untuk menyesuaikan keseimbangan antara kecepatan dan kedalaman enkripsi file.

Postingan perekrutan grup di forum bawah tanah menekankan proses verifikasi yang ketat untuk pentester dan tim intrusi yang terampil, yang menyoroti penekanan Lynx pada keamanan operasional dan kontrol kualitas.

Mereka juga menawarkan pusat panggilan untuk korban dan solusi penyimpanan canggih untuk afiliasi yang secara konsisten memberikan hasil yang menguntungkan.

Demikian pokok bahasan kita kali ini mengenai sepak terjang ransomware RansomHub, semoga informasi yang dipaparkan di atas dapat bermanfaat.

 

 

 

Baca artikel lainnya: 

  • Ransomware Afiliasi Negara
  • Asia Tenggara Lahan Basah Ransomware
  • Fenomena Ransomware Baru Bermunculan
  • Persiapan Menghadapi Ransomware
  • 4 Alasan Tidak Perlu Membayar Uang Tebusan Ransomware
  • Serangan Multi Vektor Ransomware
  • Ransomware, Rebranding dan Pemerasan Tiga Kali Lipat
  • Yang Perlu Diperhatikan dari Ransomware di Tahun Ini
  • Ransomware Meningkat Permintaan Akses Jaringan Menjamur

 

 

Sumber berita:

 

WeLiveSecurity

Post navigation

Previous Penipuan Identitas Berbasis AI
Next Penipuan Email Paypal

Related Stories

Peretas Kini Serang Lewat Obrolan dan Kode QR Peretas Kini Serang Lewat Obrolan dan Kode QR
3 min read
  • Sektor Personal
  • Teknologi

Peretas Kini Serang Lewat Obrolan dan Kode QR

October 8, 2025
Pentingnya Layanan IT Terkelola dan Peran AI Pentingnya Layanan IT Terkelola dan Peran AI
4 min read
  • Sektor Bisnis
  • Teknologi

Pentingnya Layanan IT Terkelola dan Peran AI

October 8, 2025
CometJacking Serangan yang Mengubah AI Jadi Mata-Mata CometJacking Serangan yang Mengubah AI Jadi Mata-Mata
4 min read
  • Sektor Personal
  • Teknologi

CometJacking Serangan yang Mengubah AI Jadi Mata-Mata

October 7, 2025

Recent Posts

  • Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker
  • Peretas Kini Serang Lewat Obrolan dan Kode QR
  • Pentingnya Layanan IT Terkelola dan Peran AI
  • Celah Zero-Day Zimbra Meretas Email & Kata Sandi
  • CometJacking Serangan yang Mengubah AI Jadi Mata-Mata
  • Ancaman Siber Intai Sektor Manufaktur dan Solusi MDR
  • Email Phising AI Tipu Semua Orang
  • Dua Spyware Android Mengintai Pengguna Signal dan ToTok
  • Bahaya Tersembunyi Aplikasi VPN Seluler Gratis
  • Klopatra Ratu Trojan Perbankan Licik Penguras Uang Saat Tidur

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • News Release
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker
5 min read
  • Sektor Bisnis
  • Sektor Personal

Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker

October 8, 2025
Peretas Kini Serang Lewat Obrolan dan Kode QR Peretas Kini Serang Lewat Obrolan dan Kode QR
3 min read
  • Sektor Personal
  • Teknologi

Peretas Kini Serang Lewat Obrolan dan Kode QR

October 8, 2025
Pentingnya Layanan IT Terkelola dan Peran AI Pentingnya Layanan IT Terkelola dan Peran AI
4 min read
  • Sektor Bisnis
  • Teknologi

Pentingnya Layanan IT Terkelola dan Peran AI

October 8, 2025
Celah Zero-Day Zimbra Meretas Email & Kata Sandi Celah Zero-Day Zimbra Meretas Email & Kata Sandi
4 min read
  • Sektor Personal

Celah Zero-Day Zimbra Meretas Email & Kata Sandi

October 7, 2025

Copyright © All rights reserved. | DarkNews by AF themes.