Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • Sepak Terjang Ransomware RansomHub
  • Teknologi

Sepak Terjang Ransomware RansomHub

3 min read
Sepak Terjang Ransomware RansomHub

image credit: Pixabay.com

Sepak terjang ransomware RansomHub belakangan menyita perhatian peneliti keamanan di dunia yang terus menimbulkan masalah di berbagai sektor.

Aktor di balik skema Ransomware as a Service (RaaS) RansomHub telah diamati memanfaatkan kelemahan keamanan yang kini telah ditambal di Microsoft Active Directory dan protokol Netlogon.

Yakni kelemahan untuk meningkatkan hak istimewa dan memperoleh akses tidak sah ke pengontrol domain jaringan korban sebagai bagian strategi pasca-kompromi.

Sejauh ini RansomHub telah menargetkan lebih dari 600 perusahaan di seluruh dunia, yang mencakup berbagai sektor seperti:

  • Perawatan kesehatan.
  • Keuangan.
  • Pemerintahan.
  • Infrastruktur penting.

Dengan segala aktivitasnya tersebut tegas Ransomware RansomHub sebagai kelompok ransomware paling aktif pada tahun 2024 lalu.

Baca juga: Panduan Ransomware Singkat

Ransomware RansomHub

Kelompok ransomware ini pertama kali muncul pada bulan Februari 2024, memperoleh kode sumber yang terkait dengan geng Knight (sebelumnya Cyclops) RaaS yang kini sudah tidak ada lagi dari forum kejahatan dunia maya RAMP untuk mempercepat operasinya.

Sekitar lima bulan kemudian, versi terbaru dari loker tersebut diiklankan di pasar gelap dengan kemampuan untuk mengenkripsi data dari jarak jauh melalui protokol SFTP.

RansomHub hadir dalam beberapa varian yang mampu mengenkripsi file di Windows, VMware ESXi, dan server SFTP. RansomHub juga telah diamati secara aktif merekrut afiliasi dari grup LockBit dan BlackCat sebagai bagian dari program kemitraan, yang menunjukkan upaya untuk memanfaatkan tindakan penegakan hukum yang menargetkan para pesaingnya.

Dalam insiden yang dianalisis, pelaku ancaman tersebut telah gagal mengeksploitasi kelemahan kritis yang memengaruhi perangkat Palo Alto Networks PAN-OS (CVE-2024-3400) menggunakan bukti konsep (PoC) yang tersedia untuk umum, sebelum akhirnya membobol jaringan korban melalui serangan brute-force terhadap layanan VPN.

Menurut peneliti upaya brute force ini didasarkan pada serangan kamus yang diperkaya lebih dari 5.000 nama pengguna dan kata sandi.

Pelaku akhirnya memperoleh akses melalui akun default yang sering digunakan dalam solusi pencadangan data, dan perimeter akhirnya berhasil dibobol.

Baca juga: 3 Fase Serangan Ransomware

Modus Operandi

Akses awal tersebut kemudian disalahgunakan untuk melakukan serangan ransomware, dengan enkripsi dan eksfiltrasi data yang terjadi dalam waktu 24 jam setelah peretasan.

Secara khusus, hal tersebut melibatkan penggunaan dua kelemahan keamanan yang diketahui dalam Active Directory yakni:

  • (CVE-2021-42278 alias noPac)
  • Protokol Netlogon (CVE-2020-1472 alias ZeroLogon)

Yang memiliki tujuan untuk menguasai pengontrol domain dan melakukan pergerakan lateral di seluruh jaringan.

Eksploitasi kerentanan yang disebutkan di atas memungkinkan penyerang memperoleh akses istimewa penuh ke pengontrol domain yang merupakan pusat infrastruktur berbasis Microsoft Windows.

Setelah operasi eksfiltrasi selesai, penyerang menyiapkan lingkungan untuk fase akhir serangan.

Penyerang beroperasi untuk membuat semua data perusahaan, yang disimpan di berbagai NAS, sama sekali tidak dapat dibaca dan diakses.

Selain itu, data tersebut juga tidak dapat dipulihkan, dengan tujuan memaksa korban membayar tebusan untuk mendapatkan kembali data mereka.

Aspek penting lain dari serangan tersebut adalah penggunaan PCHunter untuk menghentikan dan melewati solusi keamanan endpoint, serta Filezilla untuk eksfiltrasi data.

Baca juga: Tren Ransomware 2025

RansomHub dan Afiliasi

Asal-usul kelompok RansomHub, dari operasi ofensifnya dan karakteristiknya yang tumpang tindih dengan kelompok lain mengonfirmasi keberadaan ekosistem kejahatan dunia maya yang nyata.

Lingkungan ini berkembang pesat dengan berbagi, menggunakan kembali, dan mengubah citra alat dan kode sumber, yang memicu pasar gelap yang kuat di mana korban yang terkenal, kelompok yang terkenal, dan sejumlah besar uang memainkan peran utama.

Perkembangan ini terjadi saat peneliti merinci cara kerja internal operator RaaS yang dikenal sebagai Lynx, mengungkap alur kerja afiliasi mereka, gudang ransomware lintas platform mereka untuk lingkungan Windows, Linux, dan ESXi, serta mode enkripsi yang dapat disesuaikan.

Analisis ransomware versi Windows dan Linux menunjukkan bahwa ransomware tersebut sangat mirip dengan ransomware INC, yang menunjukkan bahwa pelaku ancaman kemungkinan memperoleh kode sumber ransomware INC.

Afiliasi diberi insentif dengan pembagian hasil tebusan sebesar 80%, yang mencerminkan strategi kompetitif yang didorong oleh perekrutan.

Lynx baru-baru ini menambahkan beberapa mode enkripsi:

  • Cepat.
  • Sedang.
  • Lambat.
  • Lengkap.

yang memberikan afiliasi kebebasan untuk menyesuaikan keseimbangan antara kecepatan dan kedalaman enkripsi file.

Postingan perekrutan grup di forum bawah tanah menekankan proses verifikasi yang ketat untuk pentester dan tim intrusi yang terampil, yang menyoroti penekanan Lynx pada keamanan operasional dan kontrol kualitas.

Mereka juga menawarkan pusat panggilan untuk korban dan solusi penyimpanan canggih untuk afiliasi yang secara konsisten memberikan hasil yang menguntungkan.

Demikian pokok bahasan kita kali ini mengenai sepak terjang ransomware RansomHub, semoga informasi yang dipaparkan di atas dapat bermanfaat.

 

 

 

Baca artikel lainnya: 

  • Ransomware Afiliasi Negara
  • Asia Tenggara Lahan Basah Ransomware
  • Fenomena Ransomware Baru Bermunculan
  • Persiapan Menghadapi Ransomware
  • 4 Alasan Tidak Perlu Membayar Uang Tebusan Ransomware
  • Serangan Multi Vektor Ransomware
  • Ransomware, Rebranding dan Pemerasan Tiga Kali Lipat
  • Yang Perlu Diperhatikan dari Ransomware di Tahun Ini
  • Ransomware Meningkat Permintaan Akses Jaringan Menjamur

 

 

Sumber berita:

 

WeLiveSecurity

Continue Reading

Previous: Penipuan Identitas Berbasis AI
Next: Penipuan Email Paypal

Related Stories

Bertahan dari Serangan Siber Bertahan dari Serangan Siber
6 min read
  • Teknologi

Bertahan dari Serangan Siber

July 8, 2025
Panduan untuk Keluarga di Era Digital Panduan untuk Keluarga di Era Digital
3 min read
  • Edukasi
  • Sektor Personal
  • Teknologi

Panduan untuk Keluarga di Era Digital

July 4, 2025
Dari ClickFix ke FileFix Dari ClickFix ke FileFix
4 min read
  • Teknologi

Dari ClickFix ke FileFix

June 26, 2025

Recent Posts

  • Modus Baru Penipuan Ancaman Callback Phising
  • Bertahan dari Serangan Siber
  • Ancaman Rantai Pasok Mengintai UMKM
  • Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru
  • Mengapa Gamer Menjadi Target Menarik bagi Penjahat Siber
  • Jebakan Siber Makin Canggih
  • 5 Kiat Menjaga Kemanan Siber Ponsel
  • Panduan untuk Keluarga di Era Digital
  • Gamer: Mengapa Mereka Rentan & Cara Melindungi Diri
  • Keylogger Curi Kredensial di Server Microsoft Exchange

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Modus Baru Penipuan Ancaman Callback Phising Modus Baru Penipuan Ancaman Callback Phising
3 min read
  • Sektor Bisnis
  • Sektor Personal

Modus Baru Penipuan Ancaman Callback Phising

July 9, 2025
Bertahan dari Serangan Siber Bertahan dari Serangan Siber
6 min read
  • Teknologi

Bertahan dari Serangan Siber

July 8, 2025
Ancaman Rantai Pasok Mengintai UMKM Ancaman Rantai Pasok Mengintai UMKM
4 min read
  • Sektor Bisnis

Ancaman Rantai Pasok Mengintai UMKM

July 8, 2025
Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru
6 min read
  • Mobile Security
  • Sektor Personal

Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru

July 8, 2025

Copyright © All rights reserved. | DarkNews by AF themes.