Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Ransomware
  • Serangan Ransomware Cloud Hibrida
  • Ransomware

Serangan Ransomware Cloud Hibrida

4 min read
Serangan Ransomware Cloud Hibrida

image credit: Pixabay.com

Aktor ancaman yang dikenal sebagai Storm-0501 telah menargetkan sektor pemerintahan, manufaktur, transportasi, dan penegakan hukum untuk melancarkan serangan ransomware cloud hibrida.

Operasi serangan multi tahap ini dirancang untuk membahayakan lingkungan cloud hybrid dan melakukan pergerakan lateral dari lingkungan lokal ke lingkungan cloud, yang pada akhirnya mengakibatkan:

  • Eksfiltrasi data.
  • Pencurian kredensial.
  • Manipulasi.
  • Akses backdoor terus-menerus.
  • Penyebaran ransomware.

Storm-0501 adalah kelompok penjahat dunia maya yang bermotivasi finansial yang menggunakan komoditas dan alat sumber terbuka untuk melakukan operasi ransomware.

Beroperasi sejak 2021, aktor ancaman ini memiliki riwayat menargetkan entitas pendidikan dengan ransomware Sabbath (54bb47h) sebelum berevolusi menjadi afiliasi ransomware-as-a-service (RaaS) yang mengirimkan berbagai muatan ransomware selama bertahun-tahun, termasuk ransomware Hive, BlackCat (ALPHV), Hunters International, LockBit, dan Embargo.

Baca juga: Panduan Ransomware Singkat

Aspek Penting

Aspek penting dari serangan Storm-0501 adalah penggunaan kredensial yang lemah dan akun yang memiliki hak istimewa berlebihan untuk berpindah dari organisasi lokal ke infrastruktur cloud.

Metode akses awal lainnya termasuk menggunakan pijakan yang telah ditetapkan oleh pialang akses seperti Storm-0249 dan Storm-0900.

Atau mengeksploitasi berbagai kerentanan eksekusi kode jarak jauh yang diketahui di server yang menghadap internet yang belum ditambal seperti:

  • Zoho ManageEngine.
  • Citrix NetScaler.
  • Adobe ColdFusion 2016.

Akses yang diberikan oleh salah satu pendekatan yang disebutkan di atas membuka jalan bagi operasi penemuan yang ekstensif untuk:

  • Menentukan aset bernilai tinggi.
  • Mengumpulkan informasi domain.
  • Dan melakukan pengintaian Direktori Aktif.

Ini diikuti oleh penerapan alat pemantauan dan manajemen jarak jauh (RMM) seperti AnyDesk untuk mempertahankan persistensi.

Pelaku memanfaatkan hak istimewa admin pada perangkat lokal yang dikompromikannya selama akses awal dan mencoba mendapatkan akses ke lebih banyak akun dalam jaringan melalui beberapa metode.

Pelaku terutama memanfaatkan modul SecretsDump milik Impacket, yang mengekstrak kredensial melalui jaringan, dan memanfaatkannya di sejumlah besar perangkat untuk mendapatkan kredensial.

Kredensial yang disusupi kemudian digunakan untuk mengakses lebih banyak perangkat dan mengekstrak kredensial tambahan,

Dengan pelaku ancaman secara bersamaan mengakses berkas sensitif untuk mengekstrak rahasia dan melakukan serangan brute-force untuk mendapatkan kredensial untuk akun tertentu.

Baca juga: 3 Fase Serangan Ransomware

Serangan Ransomware Cloud Hibrida

Microsoft mengatakan bahwa mereka mendeteksi Storm-0501 yang menggunakan Cobalt Strike untuk bergerak secara lateral melintasi jaringan menggunakan kredensial yang disusupi dan mengirim perintah lanjutan.

Pencurian data dari lingkungan lokal dilakukan dengan menggunakan Rclone untuk mentransfer data ke layanan penyimpanan cloud publik MegaSync.

Penjahat dunia maya juga telah diamati membuat akses backdoor persisten ke lingkungan cloud dan menyebarkan ransomware ke lokal.

Menjadikannya pelaku ancaman terbaru yang menargetkan pengaturan cloud hibrida setelah Octo Tempest dan Manatee Tempest.

Peretas menggunakan kredensial, khususnya Microsoft Entra ID (sebelumnya Azure AD), yang dicuri sebelumnya dalam serangan tersebut untuk berpindah secara lateral.

Perpindahan tersebut dilakukan dari lingkungan lokal ke lingkungan cloud dan membangun akses persisten ke jaringan target melalui backdoor.

Peralihan ke cloud dikatakan dilakukan baik melalui akun pengguna Microsoft Entra Connect Sync yang disusupi atau melalui pembajakan sesi cloud dari akun pengguna lokal yang memiliki akun admin terkait di cloud dengan autentikasi multifaktor (MFA) dinonaktifkan.

Serangan tersebut memuncak dengan penyebaran ransomware Embargo di seluruh perusahaan korban setelah memperoleh kontrol yang memadai atas jaringan, mengekstraksi file yang diinginkan, dan perpindahan lateral ke cloud. Embargo adalah ransomware berbasis Rust yang pertama kali ditemukan pada Mei 2024.

Baca juga: 4 Alasan Tidak Perlu Membayar Tebusan Ransomware

Afiliasi Serangan

Beroperasi di bawah model RaaS, kelompok ransomware di balik Embargo memungkinkan afiliasi seperti Storm-0501 untuk menggunakan platformnya untuk meluncurkan serangan dengan imbalan sebagian uang tebusan.

Afiliasi embargo menggunakan taktik pemerasan ganda, di mana mereka pertama-tama mengenkripsi berkas korban dan mengancam akan membocorkan data sensitif yang dicuri kecuali tebusan dibayarkan.

Meski demikian, bukti yang dikumpulkan oleh pembuat Windows menunjukkan bahwa pelaku tidak selalu menggunakan distribusi ransomware, melainkan memilih untuk hanya mempertahankan akses backdoor ke jaringan dalam beberapa kasus.

Pengungkapan ini muncul karena kelompok ransomware DragonForce telah menargetkan perusahaan di sektor manufaktur, real estat, dan transportasi menggunakan varian builder LockBit3.0 yang bocor dan versi Conti yang dimodifikasi.

Serangan tersebut dicirikan oleh penggunaan backdoor SystemBC untuk persistensi, Mimikatz dan Cobalt Strike untuk pengumpulan kredensial, dan Cobalt Strike untuk pergerakan lateral. AS menyumbang lebih dari 50% dari total korban, diikuti oleh Inggris dan Australia.

Kelompok tersebut menggunakan taktik:

  • Pemerasan ganda.
  • Mengenkripsi data.
  • Mengancam kebocoran kecuali tebusan dibayarkan.

Program afiliasi, yang diluncurkan pada 26 Juni 2024, menawarkan 80% tebusan kepada afiliasi, bersama dengan alat untuk manajemen dan otomatisasi serangan.

 

 

 

Baca lainnya:

  • Pencegahan Ransomware Berdasar Persyaratan Keamanan Kata Sandi
  • LockBit, Ransomware yang Diperjualbelikan Pahami Cara Mitigasinya
  • Ransomware Meningkat Permintaan Akses Jaringan Menjamur
  • Ransomware Tren yang Tidak Pernah Pupus
  • Ransomware, Rebranding dan Pemerasan Tiga Kali Lipat
  • Fenomena Ransomware Baru Bermunculan
  • Serangan Ransomware Ganda
  • Persiapan Menghadapi Ransomware
  • Serangan Multi Vektor Ransomware
  • Yang Perlu Diperhatikan dari Ransomware di Tahun Ini
  • Dua Metode Baru Serangan Ransomware

 

 

Sumber berita:

 

WeLiveSecurity

Tags: afiliasi serangan ransomware antivirus Andal Antivirus Canggih Antivirus ESET antivirus hebat antivirus jempolan Antivirus Komprehensif antivirus nomor satu Antivirus Nomor Wahid Antivirus Papan Atas Antivirus Populer Antivirus Super Antivirus Super Ringan antivirus superb Antivirus Tangguh Antivirus Terbaik Pemerasan ganda ransomware cloud hibrida serangan ransomware cloud hibrida

Continue Reading

Previous: Batas yang Semakin Kabur
Next: Jaringan Generator Deepnude

Related Stories

Ancaman Ransomware Terbaru Incar Sistem Modern HybridPetya Ancaman Ransomware Terbaru Incar Sistem Modern HybridPetya
3 min read
  • Ransomware

Ancaman Ransomware Terbaru Incar Sistem Modern HybridPetya

September 18, 2025
PromptLock Lahirnya Ransomware Bertenaga AI Pertama PromptLock Lahirnya Ransomware Bertenaga AI Pertama
3 min read
  • Ransomware

PromptLock Lahirnya Ransomware Bertenaga AI Pertama

August 28, 2025
Warlock Fokus Incar Server Sharepoint Warlock Fokus Incar Server Sharepoint
3 min read
  • Ransomware

Warlock Fokus Incar Server Sharepoint

August 26, 2025

Recent Posts

  • Hacker Kini Curi Data Anda di Tengah Jalan
  • Ancaman Ransomware Terbaru Incar Sistem Modern HybridPetya
  • Browser Adalah Titik Serangan Baru Sudahkah Anda Siap?
  • Cara Menjaga Mental Anak dari Ancaman Dunia Maya
  • Tiga Elemen Penting Menghadapi Ancaman Siber
  • Tanda-tanda Router Diretas dan Cara Melindunginya
  • Yakin Email dari Bos Anda Asli Begini Cara Memastikannya
  • Memahami dan Mengelola Shadow IT di Era Digital
  • Mengenal Security as a Service (SECaaS)
  • Mengapa Kata Sandi Jadi Sasaran Empuk Peretas

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • News Release
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Hacker Kini Curi Data Anda di Tengah Jalan Hacker Kini Curi Data Anda di Tengah Jalan
4 min read
  • Sektor Bisnis
  • Sektor Personal

Hacker Kini Curi Data Anda di Tengah Jalan

September 18, 2025
Ancaman Ransomware Terbaru Incar Sistem Modern HybridPetya Ancaman Ransomware Terbaru Incar Sistem Modern HybridPetya
3 min read
  • Ransomware

Ancaman Ransomware Terbaru Incar Sistem Modern HybridPetya

September 18, 2025
Browser Adalah Titik Serangan Baru Sudahkah Anda Siap? Browser Adalah Titik Serangan Baru Sudahkah Anda Siap?
3 min read
  • Sektor Bisnis
  • Sektor Personal

Browser Adalah Titik Serangan Baru Sudahkah Anda Siap?

September 17, 2025
Cara Menjaga Mental Anak dari Ancaman Dunia Maya Cara Menjaga Mental Anak dari Ancaman Dunia Maya - Terlepas dari sisi positifnya, dunia digital sering kali meniru perilaku buruk yang kita lihat di dunia nyata. Hal ini kadang bahkan memperburuknya.
4 min read
  • Edukasi
  • Sektor Personal

Cara Menjaga Mental Anak dari Ancaman Dunia Maya

September 17, 2025

Copyright © All rights reserved. | DarkNews by AF themes.