Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • Sepak Terjang Ransomware RansomHub
  • Teknologi

Sepak Terjang Ransomware RansomHub

3 min read
Sepak Terjang Ransomware RansomHub

image credit: Pixabay.com

Sepak terjang ransomware RansomHub belakangan menyita perhatian peneliti keamanan di dunia yang terus menimbulkan masalah di berbagai sektor.

Aktor di balik skema Ransomware as a Service (RaaS) RansomHub telah diamati memanfaatkan kelemahan keamanan yang kini telah ditambal di Microsoft Active Directory dan protokol Netlogon.

Yakni kelemahan untuk meningkatkan hak istimewa dan memperoleh akses tidak sah ke pengontrol domain jaringan korban sebagai bagian strategi pasca-kompromi.

Sejauh ini RansomHub telah menargetkan lebih dari 600 perusahaan di seluruh dunia, yang mencakup berbagai sektor seperti:

  • Perawatan kesehatan.
  • Keuangan.
  • Pemerintahan.
  • Infrastruktur penting.

Dengan segala aktivitasnya tersebut tegas Ransomware RansomHub sebagai kelompok ransomware paling aktif pada tahun 2024 lalu.

Baca juga: Panduan Ransomware Singkat

Ransomware RansomHub

Kelompok ransomware ini pertama kali muncul pada bulan Februari 2024, memperoleh kode sumber yang terkait dengan geng Knight (sebelumnya Cyclops) RaaS yang kini sudah tidak ada lagi dari forum kejahatan dunia maya RAMP untuk mempercepat operasinya.

Sekitar lima bulan kemudian, versi terbaru dari loker tersebut diiklankan di pasar gelap dengan kemampuan untuk mengenkripsi data dari jarak jauh melalui protokol SFTP.

RansomHub hadir dalam beberapa varian yang mampu mengenkripsi file di Windows, VMware ESXi, dan server SFTP. RansomHub juga telah diamati secara aktif merekrut afiliasi dari grup LockBit dan BlackCat sebagai bagian dari program kemitraan, yang menunjukkan upaya untuk memanfaatkan tindakan penegakan hukum yang menargetkan para pesaingnya.

Dalam insiden yang dianalisis, pelaku ancaman tersebut telah gagal mengeksploitasi kelemahan kritis yang memengaruhi perangkat Palo Alto Networks PAN-OS (CVE-2024-3400) menggunakan bukti konsep (PoC) yang tersedia untuk umum, sebelum akhirnya membobol jaringan korban melalui serangan brute-force terhadap layanan VPN.

Menurut peneliti upaya brute force ini didasarkan pada serangan kamus yang diperkaya lebih dari 5.000 nama pengguna dan kata sandi.

Pelaku akhirnya memperoleh akses melalui akun default yang sering digunakan dalam solusi pencadangan data, dan perimeter akhirnya berhasil dibobol.

Baca juga: 3 Fase Serangan Ransomware

Modus Operandi

Akses awal tersebut kemudian disalahgunakan untuk melakukan serangan ransomware, dengan enkripsi dan eksfiltrasi data yang terjadi dalam waktu 24 jam setelah peretasan.

Secara khusus, hal tersebut melibatkan penggunaan dua kelemahan keamanan yang diketahui dalam Active Directory yakni:

  • (CVE-2021-42278 alias noPac)
  • Protokol Netlogon (CVE-2020-1472 alias ZeroLogon)

Yang memiliki tujuan untuk menguasai pengontrol domain dan melakukan pergerakan lateral di seluruh jaringan.

Eksploitasi kerentanan yang disebutkan di atas memungkinkan penyerang memperoleh akses istimewa penuh ke pengontrol domain yang merupakan pusat infrastruktur berbasis Microsoft Windows.

Setelah operasi eksfiltrasi selesai, penyerang menyiapkan lingkungan untuk fase akhir serangan.

Penyerang beroperasi untuk membuat semua data perusahaan, yang disimpan di berbagai NAS, sama sekali tidak dapat dibaca dan diakses.

Selain itu, data tersebut juga tidak dapat dipulihkan, dengan tujuan memaksa korban membayar tebusan untuk mendapatkan kembali data mereka.

Aspek penting lain dari serangan tersebut adalah penggunaan PCHunter untuk menghentikan dan melewati solusi keamanan endpoint, serta Filezilla untuk eksfiltrasi data.

Baca juga: Tren Ransomware 2025

RansomHub dan Afiliasi

Asal-usul kelompok RansomHub, dari operasi ofensifnya dan karakteristiknya yang tumpang tindih dengan kelompok lain mengonfirmasi keberadaan ekosistem kejahatan dunia maya yang nyata.

Lingkungan ini berkembang pesat dengan berbagi, menggunakan kembali, dan mengubah citra alat dan kode sumber, yang memicu pasar gelap yang kuat di mana korban yang terkenal, kelompok yang terkenal, dan sejumlah besar uang memainkan peran utama.

Perkembangan ini terjadi saat peneliti merinci cara kerja internal operator RaaS yang dikenal sebagai Lynx, mengungkap alur kerja afiliasi mereka, gudang ransomware lintas platform mereka untuk lingkungan Windows, Linux, dan ESXi, serta mode enkripsi yang dapat disesuaikan.

Analisis ransomware versi Windows dan Linux menunjukkan bahwa ransomware tersebut sangat mirip dengan ransomware INC, yang menunjukkan bahwa pelaku ancaman kemungkinan memperoleh kode sumber ransomware INC.

Afiliasi diberi insentif dengan pembagian hasil tebusan sebesar 80%, yang mencerminkan strategi kompetitif yang didorong oleh perekrutan.

Lynx baru-baru ini menambahkan beberapa mode enkripsi:

  • Cepat.
  • Sedang.
  • Lambat.
  • Lengkap.

yang memberikan afiliasi kebebasan untuk menyesuaikan keseimbangan antara kecepatan dan kedalaman enkripsi file.

Postingan perekrutan grup di forum bawah tanah menekankan proses verifikasi yang ketat untuk pentester dan tim intrusi yang terampil, yang menyoroti penekanan Lynx pada keamanan operasional dan kontrol kualitas.

Mereka juga menawarkan pusat panggilan untuk korban dan solusi penyimpanan canggih untuk afiliasi yang secara konsisten memberikan hasil yang menguntungkan.

Demikian pokok bahasan kita kali ini mengenai sepak terjang ransomware RansomHub, semoga informasi yang dipaparkan di atas dapat bermanfaat.

 

 

 

Baca artikel lainnya: 

  • Ransomware Afiliasi Negara
  • Asia Tenggara Lahan Basah Ransomware
  • Fenomena Ransomware Baru Bermunculan
  • Persiapan Menghadapi Ransomware
  • 4 Alasan Tidak Perlu Membayar Uang Tebusan Ransomware
  • Serangan Multi Vektor Ransomware
  • Ransomware, Rebranding dan Pemerasan Tiga Kali Lipat
  • Yang Perlu Diperhatikan dari Ransomware di Tahun Ini
  • Ransomware Meningkat Permintaan Akses Jaringan Menjamur

 

 

Sumber berita:

 

WeLiveSecurity

Continue Reading

Previous: Penipuan Identitas Berbasis AI
Next: Penipuan Email Paypal

Related Stories

Dari ClickFix ke FileFix Dari ClickFix ke FileFix
4 min read
  • Teknologi

Dari ClickFix ke FileFix

June 26, 2025
Mode Incoqnito Fungsi dan Batasan Mode Incoqnito Fungsi dan Batasan
5 min read
  • Teknologi

Mode Incoqnito Fungsi dan Batasan

June 24, 2025
Ketika AI Memudahkan Penipuan Daring Ketika AI Memudahkan Penipuan Daring
5 min read
  • Sektor Personal
  • Teknologi

Ketika AI Memudahkan Penipuan Daring

June 23, 2025

Recent Posts

  • Keylogger Curi Kredensial di Server Microsoft Exchange
  • Dari ClickFix ke FileFix
  • Mengulas Teardrop Attack
  • Mode Incoqnito Fungsi dan Batasan
  • XSS Ancaman Tersembunyi di Webmail
  • Ratusan Malware di Github Incar Gamer dan Developer
  • Reinkarnasi Godfather Bikin Kacau Android
  • Ketika AI Memudahkan Penipuan Daring
  • Ancaman Masif ChainLink
  • Stargazer Curi Password Gamer dengan Mod Minecraft Palsu

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Keylogger Curi Kredensial di Server Microsoft Exchange Keylogger Curi Kredensial di Server Microsoft Exchange
4 min read
  • Sektor Bisnis
  • Sektor Personal

Keylogger Curi Kredensial di Server Microsoft Exchange

June 26, 2025
Dari ClickFix ke FileFix Dari ClickFix ke FileFix
4 min read
  • Teknologi

Dari ClickFix ke FileFix

June 26, 2025
Mengulas Teardrop Attack Mengulas Teardrop Attack
4 min read
  • Sektor Bisnis
  • Sektor Personal

Mengulas Teardrop Attack

June 25, 2025
Mode Incoqnito Fungsi dan Batasan Mode Incoqnito Fungsi dan Batasan
5 min read
  • Teknologi

Mode Incoqnito Fungsi dan Batasan

June 24, 2025

Copyright © All rights reserved. | DarkNews by AF themes.