Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • Sepak Terjang Ransomware RansomHub
  • Teknologi

Sepak Terjang Ransomware RansomHub

3 min read
Sepak Terjang Ransomware RansomHub

image credit: Pixabay.com

Sepak terjang ransomware RansomHub belakangan menyita perhatian peneliti keamanan di dunia yang terus menimbulkan masalah di berbagai sektor.

Aktor di balik skema Ransomware as a Service (RaaS) RansomHub telah diamati memanfaatkan kelemahan keamanan yang kini telah ditambal di Microsoft Active Directory dan protokol Netlogon.

Yakni kelemahan untuk meningkatkan hak istimewa dan memperoleh akses tidak sah ke pengontrol domain jaringan korban sebagai bagian strategi pasca-kompromi.

Sejauh ini RansomHub telah menargetkan lebih dari 600 perusahaan di seluruh dunia, yang mencakup berbagai sektor seperti:

  • Perawatan kesehatan.
  • Keuangan.
  • Pemerintahan.
  • Infrastruktur penting.

Dengan segala aktivitasnya tersebut tegas Ransomware RansomHub sebagai kelompok ransomware paling aktif pada tahun 2024 lalu.

Baca juga: Panduan Ransomware Singkat

Ransomware RansomHub

Kelompok ransomware ini pertama kali muncul pada bulan Februari 2024, memperoleh kode sumber yang terkait dengan geng Knight (sebelumnya Cyclops) RaaS yang kini sudah tidak ada lagi dari forum kejahatan dunia maya RAMP untuk mempercepat operasinya.

Sekitar lima bulan kemudian, versi terbaru dari loker tersebut diiklankan di pasar gelap dengan kemampuan untuk mengenkripsi data dari jarak jauh melalui protokol SFTP.

RansomHub hadir dalam beberapa varian yang mampu mengenkripsi file di Windows, VMware ESXi, dan server SFTP. RansomHub juga telah diamati secara aktif merekrut afiliasi dari grup LockBit dan BlackCat sebagai bagian dari program kemitraan, yang menunjukkan upaya untuk memanfaatkan tindakan penegakan hukum yang menargetkan para pesaingnya.

Dalam insiden yang dianalisis, pelaku ancaman tersebut telah gagal mengeksploitasi kelemahan kritis yang memengaruhi perangkat Palo Alto Networks PAN-OS (CVE-2024-3400) menggunakan bukti konsep (PoC) yang tersedia untuk umum, sebelum akhirnya membobol jaringan korban melalui serangan brute-force terhadap layanan VPN.

Menurut peneliti upaya brute force ini didasarkan pada serangan kamus yang diperkaya lebih dari 5.000 nama pengguna dan kata sandi.

Pelaku akhirnya memperoleh akses melalui akun default yang sering digunakan dalam solusi pencadangan data, dan perimeter akhirnya berhasil dibobol.

Baca juga: 3 Fase Serangan Ransomware

Modus Operandi

Akses awal tersebut kemudian disalahgunakan untuk melakukan serangan ransomware, dengan enkripsi dan eksfiltrasi data yang terjadi dalam waktu 24 jam setelah peretasan.

Secara khusus, hal tersebut melibatkan penggunaan dua kelemahan keamanan yang diketahui dalam Active Directory yakni:

  • (CVE-2021-42278 alias noPac)
  • Protokol Netlogon (CVE-2020-1472 alias ZeroLogon)

Yang memiliki tujuan untuk menguasai pengontrol domain dan melakukan pergerakan lateral di seluruh jaringan.

Eksploitasi kerentanan yang disebutkan di atas memungkinkan penyerang memperoleh akses istimewa penuh ke pengontrol domain yang merupakan pusat infrastruktur berbasis Microsoft Windows.

Setelah operasi eksfiltrasi selesai, penyerang menyiapkan lingkungan untuk fase akhir serangan.

Penyerang beroperasi untuk membuat semua data perusahaan, yang disimpan di berbagai NAS, sama sekali tidak dapat dibaca dan diakses.

Selain itu, data tersebut juga tidak dapat dipulihkan, dengan tujuan memaksa korban membayar tebusan untuk mendapatkan kembali data mereka.

Aspek penting lain dari serangan tersebut adalah penggunaan PCHunter untuk menghentikan dan melewati solusi keamanan endpoint, serta Filezilla untuk eksfiltrasi data.

Baca juga: Tren Ransomware 2025

RansomHub dan Afiliasi

Asal-usul kelompok RansomHub, dari operasi ofensifnya dan karakteristiknya yang tumpang tindih dengan kelompok lain mengonfirmasi keberadaan ekosistem kejahatan dunia maya yang nyata.

Lingkungan ini berkembang pesat dengan berbagi, menggunakan kembali, dan mengubah citra alat dan kode sumber, yang memicu pasar gelap yang kuat di mana korban yang terkenal, kelompok yang terkenal, dan sejumlah besar uang memainkan peran utama.

Perkembangan ini terjadi saat peneliti merinci cara kerja internal operator RaaS yang dikenal sebagai Lynx, mengungkap alur kerja afiliasi mereka, gudang ransomware lintas platform mereka untuk lingkungan Windows, Linux, dan ESXi, serta mode enkripsi yang dapat disesuaikan.

Analisis ransomware versi Windows dan Linux menunjukkan bahwa ransomware tersebut sangat mirip dengan ransomware INC, yang menunjukkan bahwa pelaku ancaman kemungkinan memperoleh kode sumber ransomware INC.

Afiliasi diberi insentif dengan pembagian hasil tebusan sebesar 80%, yang mencerminkan strategi kompetitif yang didorong oleh perekrutan.

Lynx baru-baru ini menambahkan beberapa mode enkripsi:

  • Cepat.
  • Sedang.
  • Lambat.
  • Lengkap.

yang memberikan afiliasi kebebasan untuk menyesuaikan keseimbangan antara kecepatan dan kedalaman enkripsi file.

Postingan perekrutan grup di forum bawah tanah menekankan proses verifikasi yang ketat untuk pentester dan tim intrusi yang terampil, yang menyoroti penekanan Lynx pada keamanan operasional dan kontrol kualitas.

Mereka juga menawarkan pusat panggilan untuk korban dan solusi penyimpanan canggih untuk afiliasi yang secara konsisten memberikan hasil yang menguntungkan.

Demikian pokok bahasan kita kali ini mengenai sepak terjang ransomware RansomHub, semoga informasi yang dipaparkan di atas dapat bermanfaat.

 

 

 

Baca artikel lainnya: 

  • Ransomware Afiliasi Negara
  • Asia Tenggara Lahan Basah Ransomware
  • Fenomena Ransomware Baru Bermunculan
  • Persiapan Menghadapi Ransomware
  • 4 Alasan Tidak Perlu Membayar Uang Tebusan Ransomware
  • Serangan Multi Vektor Ransomware
  • Ransomware, Rebranding dan Pemerasan Tiga Kali Lipat
  • Yang Perlu Diperhatikan dari Ransomware di Tahun Ini
  • Ransomware Meningkat Permintaan Akses Jaringan Menjamur

 

 

Sumber berita:

 

WeLiveSecurity

Continue Reading

Previous: Penipuan Identitas Berbasis AI
Next: Penipuan Email Paypal

Related Stories

Mengapa Produk “Kedaluwarsa” (End-of-Life)Sangat Berbahaya bagi Bisnis Mengapa Produk "Kedaluwarsa" (End-of-Life)Sangat Berbahaya bagi Bisnis
3 min read
  • Teknologi

Mengapa Produk “Kedaluwarsa” (End-of-Life)Sangat Berbahaya bagi Bisnis

June 5, 2025
Waspada SIM Swapping Lindungi Akun Digital dari Peretas Waspada SIM Swapping Lindungi Akun Digital dari Peretas
5 min read
  • Mobile Security
  • Sektor Personal
  • Teknologi

Waspada SIM Swapping Lindungi Akun Digital dari Peretas

June 5, 2025
Manipulasi Psikologis di Balik Serangan Social Engineering Anak Manipulasi Psikologis di Balik Serangan Social Engineering Anak
5 min read
  • Sektor Personal
  • Teknologi

Manipulasi Psikologis di Balik Serangan Social Engineering Anak

June 4, 2025

Recent Posts

  • Mengapa Produk “Kedaluwarsa” (End-of-Life)Sangat Berbahaya bagi Bisnis
  • Waspada SIM Swapping Lindungi Akun Digital dari Peretas
  • Manipulasi Psikologis di Balik Serangan Social Engineering Anak
  • Hati-hati Eksekutif Keuangan Phising Canggih Menguntit
  • SIM Card Dari Fisik ke Digital dan Risiko di Baliknya
  • Penipuan DocuSign Jangan Sampai Data Anda Dicuri
  • Membongkar Rahasia Cara Kerja VPN
  • Mengelola dan Melindungi Jejak Digital
  • Lindungi Data dengan Enkripsi Seperti Perusahaan Besar
  • Mencegah Bisnis menjadi Korban Serangan Phising

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Mengapa Produk “Kedaluwarsa” (End-of-Life)Sangat Berbahaya bagi Bisnis Mengapa Produk "Kedaluwarsa" (End-of-Life)Sangat Berbahaya bagi Bisnis
3 min read
  • Teknologi

Mengapa Produk “Kedaluwarsa” (End-of-Life)Sangat Berbahaya bagi Bisnis

June 5, 2025
Waspada SIM Swapping Lindungi Akun Digital dari Peretas Waspada SIM Swapping Lindungi Akun Digital dari Peretas
5 min read
  • Mobile Security
  • Sektor Personal
  • Teknologi

Waspada SIM Swapping Lindungi Akun Digital dari Peretas

June 5, 2025
Manipulasi Psikologis di Balik Serangan Social Engineering Anak Manipulasi Psikologis di Balik Serangan Social Engineering Anak
5 min read
  • Sektor Personal
  • Teknologi

Manipulasi Psikologis di Balik Serangan Social Engineering Anak

June 4, 2025
Hati-hati Eksekutif Keuangan Phising Canggih Menguntit Hati-hati Eksekutif Keuangan Phising Canggih Menguntit
5 min read
  • Teknologi

Hati-hati Eksekutif Keuangan Phising Canggih Menguntit

June 3, 2025

Copyright © All rights reserved. | DarkNews by AF themes.