Ransomware Kiriman Geng Hacker Rusia Lolos Deteksi Keamanan Siber
- BankInfoSecurity
VIVA Tekno – Perusahaan keamanan siber Kaspersky telah meluncurkan penelitian terhadap aktivitas kelompok ransomware terkenal asal Rusia yang dikenal sebagai Cuba.
Mereka baru-baru ini menyebarkan malware yang dapat menghindari keamanan siber dan menargetkan organisasi di seluruh dunia, sehingga meninggalkan jejak di sejumlah perusahaan yang telah disusupi di berbagai industri.
Pada Desember 2022, Kaspersky mendeteksi insiden mencurigakan pada sistem klien, mengungkap tiga file yang meragukan.
File-file tersebut memicu serangkaian tindakan yang mengarah pada pemuatan komar65 library atau juga dikenal sebagai Bughath.
Ini adalah backdoor canggih yang diterapkan dalam memori proses. Ransomware akan mengeksekusi blok kode shell yang tertanam dalam ruang memori menggunakan Windows API, yang mencakup berbagai fungsi.
Selanjutnya itu akan terhubung ke server Command and Control (C2) untuk menunggu instruksi lebih lanjut. Perangkat dapat menerima perintah untuk mengunduh perangkat lunak seperti Cobalt Strike Beacon dan Metasploit. Penggunaan Veeamp dalam serangan tersebut menunjukkan keterlibatan Cuba.
Peretas atau hacker.
- ABC News
FileFileFile PDB merujuk pada folder 'komar' merupakan kata dalam bahasa Rusia untuk 'nyamuk', menunjukkan potensi kehadiran anggota berbahasa Rusia dalam grup tersebut.
Analisis lebih lanjut oleh Kaspersky mengungkap modul tambahan yang didistribusikan oleh grup Cuba, sehingga meningkatkan fungsionalitas malware.
Salah satu modul tersebut bertanggung jawab untuk mengumpulkan informasi sistem, yang kemudian dikirim ke server melalui permintaan HTTP POST.
Melanjutkan penyelidikannya, Kaspersky menemukan sampel malware baru yang dikaitkan dengan kelompok Cuba di VirusTotal, di mana beberapa dari sampel itu berhasil menghindari deteksi oleh vendor keamanan lainnya.
Sampel ini mewakili versi baru dari malware Burntcigar, yang menggunakan data terenkripsi untuk menghindari deteksi antivirus, tulis perusahaan, dalam keterangan resminya, Rabu, 13 September 2023.
“Ketika geng ransomware seperti Cuba berevolusi dan menyempurnakan taktik, sangatlah penting untuk secara efektif memitigasi potensi serangan," ujar Gleb Ivanov, pakar keamanan siber di Kaspersky.
Dengan lanskap ancaman siber yang terus berubah, wawasan dan pengetahuan adalah pertahanan utama melawan munculnya penjahat siber. Cuba adalah jenis ransomware file tunggal yang sulit dideteksi karena pengoperasiannya tanpa perpustakaan tambahan.
Ilustrasi hacker atau serangan siber.
- Dok. Kaspersky
Grup berbahasa Rusia ini dikenal karena jangkauannya yang luas dan menargetkan industri seperti ritel, keuangan, logistik, pemerintahan, dan manufaktur di Amerika Utara, Eropa, Oseania, dan Asia.
Mereka menggunakan gabungan alat milik publik dan milik sendiri, memperbarui perangkat secara teratur dan menggunakan taktik seperti BYOVD (Bring Your Own Vulnerable Driver).
Ciri khas dari operasi tersebut adalah mengubah stempel waktu kompilasi untuk menyesatkan penyelidik. Misalnya, beberapa sampel yang ditemukan pada tahun 2020 memiliki tanggal kompilasi 4 Juni 2020, sedangkan stempel waktu pada versi yang lebih baru ditampilkan berasal dari 19 Juni 1992.
Pendekatan tidak hanya melibatkan enkripsi data, tetapi juga menyesuaikan serangan untuk mengekstrak data informasi sensitif, seperti dokumen keuangan, catatan bank, rekening perusahaan, dan kode sumber.
Kaspersky mendorong organisasi untuk perbarui perangkat lunak di semua perangkat yang digunakan untuk mencegah penyerang mengeksploitasi kerentanan dan menyusup ke jaringan.
Kemudian untuk fokus pada strategi pertahanan untuk mendeteksi pergerakan lateral dan penyelundupan data ke internet. Berikan juga perhatian khusus pada lalu lintas keluar untuk mendeteksi koneksi penjahat siber ke jaringan.
