Serangan Ransomware Cloud Hibrida

Aktor ancaman yang dikenal sebagai Storm-0501 telah menargetkan sektor pemerintahan, manufaktur, transportasi, dan penegakan hukum untuk melancarkan serangan ransomware cloud hibrida.

Operasi serangan multi tahap ini dirancang untuk membahayakan lingkungan cloud hybrid dan melakukan pergerakan lateral dari lingkungan lokal ke lingkungan cloud, yang pada akhirnya mengakibatkan:

• Eksfiltrasi data.
• Pencurian kredensial.
• Manipulasi.
• Akses backdoor terus-menerus.
• Penyebaran ransomware.

Storm-0501 adalah kelompok penjahat dunia maya yang bermotivasi finansial yang menggunakan komoditas dan alat sumber terbuka untuk melakukan operasi ransomware.

Beroperasi sejak 2021, aktor ancaman ini memiliki riwayat menargetkan entitas pendidikan dengan ransomware Sabbath (54bb47h) sebelum berevolusi menjadi afiliasi ransomware-as-a-service (RaaS) yang mengirimkan berbagai muatan ransomware selama bertahun-tahun, termasuk ransomware Hive, BlackCat (ALPHV), Hunters International, LockBit, dan Embargo.

Aspek Penting

Aspek penting dari serangan Storm-0501 adalah penggunaan kredensial yang lemah dan akun yang memiliki hak istimewa berlebihan untuk berpindah dari organisasi lokal ke infrastruktur cloud.

Metode akses awal lainnya termasuk menggunakan pijakan yang telah ditetapkan oleh pialang akses seperti Storm-0249 dan Storm-0900.

Atau mengeksploitasi berbagai kerentanan eksekusi kode jarak jauh yang diketahui di server yang menghadap internet yang belum ditambal seperti:

• Zoho ManageEngine.
• Citrix NetScaler.
• Adobe ColdFusion 2016.

Akses yang diberikan oleh salah satu pendekatan yang disebutkan di atas membuka jalan bagi operasi penemuan yang ekstensif untuk:

• Menentukan aset bernilai tinggi.
• Mengumpulkan informasi domain.
• Dan melakukan pengintaian Direktori Aktif.

Ini diikuti oleh penerapan alat pemantauan dan manajemen jarak jauh (RMM) seperti AnyDesk untuk mempertahankan persistensi.

Pelaku memanfaatkan hak istimewa admin pada perangkat lokal yang dikompromikannya selama akses awal dan mencoba mendapatkan akses ke lebih banyak akun dalam jaringan melalui beberapa metode.

Pelaku terutama memanfaatkan modul SecretsDump milik Impacket, yang mengekstrak kredensial melalui jaringan, dan memanfaatkannya di sejumlah besar perangkat untuk mendapatkan kredensial.

Kredensial yang disusupi kemudian digunakan untuk mengakses lebih banyak perangkat dan mengekstrak kredensial tambahan,

Dengan pelaku ancaman secara bersamaan mengakses berkas sensitif untuk mengekstrak rahasia dan melakukan serangan brute-force untuk mendapatkan kredensial untuk akun tertentu.

Serangan Ransomware Cloud Hibrida

Microsoft mengatakan bahwa mereka mendeteksi Storm-0501 yang menggunakan Cobalt Strike untuk bergerak secara lateral melintasi jaringan menggunakan kredensial yang disusupi dan mengirim perintah lanjutan.

Pencurian data dari lingkungan lokal dilakukan dengan menggunakan Rclone untuk mentransfer data ke layanan penyimpanan cloud publik MegaSync.

Penjahat dunia maya juga telah diamati membuat akses backdoor persisten ke lingkungan cloud dan menyebarkan ransomware ke lokal.

Menjadikannya pelaku ancaman terbaru yang menargetkan pengaturan cloud hibrida setelah Octo Tempest dan Manatee Tempest.

Peretas menggunakan kredensial, khususnya Microsoft Entra ID (sebelumnya Azure AD), yang dicuri sebelumnya dalam serangan tersebut untuk berpindah secara lateral.

Perpindahan tersebut dilakukan dari lingkungan lokal ke lingkungan cloud dan membangun akses persisten ke jaringan target melalui backdoor.

Peralihan ke cloud dikatakan dilakukan baik melalui akun pengguna Microsoft Entra Connect Sync yang disusupi atau melalui pembajakan sesi cloud dari akun pengguna lokal yang memiliki akun admin terkait di cloud dengan autentikasi multifaktor (MFA) dinonaktifkan.

Serangan tersebut memuncak dengan penyebaran ransomware Embargo di seluruh perusahaan korban setelah memperoleh kontrol yang memadai atas jaringan, mengekstraksi file yang diinginkan, dan perpindahan lateral ke cloud. Embargo adalah ransomware berbasis Rust yang pertama kali ditemukan pada Mei 2024.

Afiliasi Serangan

Beroperasi di bawah model RaaS, kelompok ransomware di balik Embargo memungkinkan afiliasi seperti Storm-0501 untuk menggunakan platformnya untuk meluncurkan serangan dengan imbalan sebagian uang tebusan.

Afiliasi embargo menggunakan taktik pemerasan ganda, di mana mereka pertama-tama mengenkripsi berkas korban dan mengancam akan membocorkan data sensitif yang dicuri kecuali tebusan dibayarkan.

Meski demikian, bukti yang dikumpulkan oleh pembuat Windows menunjukkan bahwa pelaku tidak selalu menggunakan distribusi ransomware, melainkan memilih untuk hanya mempertahankan akses backdoor ke jaringan dalam beberapa kasus.

Pengungkapan ini muncul karena kelompok ransomware DragonForce telah menargetkan perusahaan di sektor manufaktur, real estat, dan transportasi menggunakan varian builder LockBit3.0 yang bocor dan versi Conti yang dimodifikasi.

Serangan tersebut dicirikan oleh penggunaan backdoor SystemBC untuk persistensi, Mimikatz dan Cobalt Strike untuk pengumpulan kredensial, dan Cobalt Strike untuk pergerakan lateral. AS menyumbang lebih dari 50% dari total korban, diikuti oleh Inggris dan Australia.

Kelompok tersebut menggunakan taktik:

• Pemerasan ganda.
• Mengenkripsi data.
• Mengancam kebocoran kecuali tebusan dibayarkan.

Program afiliasi, yang diluncurkan pada 26 Juni 2024, menawarkan 80% tebusan kepada afiliasi, bersama dengan alat untuk manajemen dan otomatisasi serangan.

Sumber berita:

WeLiveSecurity