A aktor ancaman yang sebelumnya terkait dengan operasi ransomware Thieflock sekarang mungkin menggunakan ransomware Yanluowang yang muncul dalam serangkaian serangan terhadap perusahaan AS, para peneliti telah menemukan.
Peneliti dari Symantec, sebuah divisi dari Broadcom Software, menemukan hubungan antara Thieflock dan Yanluowang, yang terakhir yang mereka ungkapkan pada bulan Oktober setelah mengamati penggunaannya terhadap organisasi besar.
Para peneliti yakin aktor ancaman telah menggunakan Yanluowang sejak Agustus untuk menargetkan sebagian besar perusahaan keuangan di Amerika Serikat, kata mereka dalam sebuah laporan yang diterbitkan Selasa. Aktor tersebut juga telah menyerang perusahaan di sektor manufaktur, layanan TI, konsultasi, dan teknik dengan ransomware baru, kata mereka.
Para peneliti menemukan “hubungan tentatif” antara serangan Yanluowang baru dan serangan lama yang melibatkan Thieflock, sebuah ransomware-as-a -service (RaaS) yang dikembangkan oleh grup Canthroid, juga dikenal sebagai Fivehands.
Ini menunjukkan betapa "sedikit loyalitas" ada di antara pelaku ransomware, terutama mereka yang bertindak sebagai afiliasi operasi RaaS, Vikram Thakur, manajer riset utama di Symantec, sebuah divisi Broadcom, mengatakan kepada Threatpost dalam sebuah wawancara email pada hari Senin menjelang rilis laporan.
“Penulis Ransomware dan afiliasi sering berporos,” katanya. “Afiliasi beralih bisnis berdasarkan margin keuntungan yang ditawarkan oleh operator layanan ransomware, dan dalam beberapa kasus jumlah panas dari penegakan hukum terhadap keluarga ransomware tertentu. Sedikit atau tidak ada loyalitas dalam bisnis mereka.”
Fokus pada Serangan, Bukan Pengembangan
Ketika peneliti pertama kali mengamati Yanluowang pada bulan Oktober, mereka mencirikannya sebagai “agak kurang berkembang.” Sedikit yang berubah di departemen itu mengenai serangan terbaru, Thakur mengatakan kepada Threatpost.
“Tidak banyak peningkatan yang terjadi,” katanya. “Sepertinya Yanluowang dan afiliasinya telah difokuskan untuk melakukan serangan daripada membuat langkah besar dalam pengembangan kode.”
Researchers memberikan ikhtisar dari beberapa alat yang digunakan dalam serangan Yanluowang, beberapa di antaranya memiliki aktivitas serupa serangan Thieflock “yang membuat kami percaya orang di balik serangan itu berpengalaman dengan bagaimana Thieflock dulu digunakan, ”kata Thakur kepada Threatpost.
Penyerang Yanluowang juga menggunakan sejumlah alat sumber terbuka untuk berkompromi dan melakukan aktivitas pengintaian dan pencurian data, menurut report.
Dalam kebanyakan skenario, penyerang menggunakan PowerShell untuk mengunduh alat ke sistem yang disusupi, termasuk BazarLoader, yang membantu dalam pengintaian sistem sebelum serangan terjadi, kata peneliti.
Para penyerang kemudian mengaktifkan RDP melalui registri untuk mengaktifkan akses jarak jauh, menyebarkan akses jarak jauh yang sah alat ConnectWise, sebelumnya dikenal sebagai ScreenConnect, setelah mereka mendapatkan akses ini, kata mereka.
Tautan Khusus ke Thieflock
Untuk gerakan lateral guna mengidentifikasi sistem yang diinginkan untuk ditargetkan – yaitu, server Active Directory – penyerang Yanluowang menggunakan Adfind, alat gratis yang dapat digunakan untuk menanyakan Active Directory; dan SoftPerfect Network Scanner, atau netscan.exe, alat yang tersedia untuk umum yang digunakan untuk menemukan nama host dan layanan jaringan. Penggunaan yang terakhir ini mirip dengan apa yang terlihat dalam serangan Thieflock, kata para peneliti.
Beberapa alat kemudian digunakan dalam fase serangan berikutnya untuk pencurian kredensial yang juga terlihat digunakan oleh penyerang Thieflock. Mereka termasuk GrabFF, alat yang dapat membuang kata sandi dari Firefox; GrabChrome, alat yang dapat membuang kata sandi dari Chrome; dan BrowserPassView, alat yang dapat membuang kata sandi dari Internet Explorer dan sejumlah browser lain, tulis para peneliti.
Penyerang Yanluowang juga menggunakan sejumlah alat sumber terbuka seperti KeeThief, skrip PowerShell untuk menyalin kunci master dari KeePass, serta sebagai versi khusus dari alat dumping kredensial sumber terbuka untuk membuang kredensial dari registry.
Alat penangkap data juga merupakan bagian dari vektor serangan, termasuk alat tangkapan layar dan alat eksfiltrasi file (filegrab.exe), serta Cobalt Strike Beacon, yang peneliti lihat dikerahkan terhadap setidaknya satu target.
Meskipun hubungan antara penggunaan beberapa alat dan taktik dalam serangan Yanluowang yang sejalan dengan Thieflock, Thakur mengatakan bahwa pada titik ini sepertinya kedua varian ransomware tidak berbagi kepengarangan.
“Dari perspektif analitis, ini berarti satu atau lebih aktor yang mengerahkan Thieflock di masa lalu sekarang terlibat dalam menyebarkan Yanluowang,” katanya. “Afiliasi pindah ke kelompok yang berbeda ketika mereka melihat keuntungan finansial yang lebih besar, atau perhatian yang lebih rendah dari penegakan hukum.”
Ada lautan data tidak terstruktur di internet yang berkaitan dengan ancaman keamanan terbaru. DAFTAR HARI INI untuk mempelajari konsep kunci pemrosesan bahasa alami (NLP) dan cara menggunakannya untuk menavigasi lautan data dan menambahkan konteks ke ancaman keamanan siber (tanpa menjadi ahli!). Balai Kota Threatpost interaktif LANGSUNG ini, disponsori oleh Rapid 7, akan menampilkan peneliti keamanan Erick Galinkin dari Rapid7 dan Izzy Lazerson dari IntSights (perusahaan Rapid7), ditambah jurnalis Threatpost dan pembawa acara webinar, Becky Bracken.
Daftar SEKARANG untuk acara LANGSUNG!
Write a comment
Bagikan artikel ini:
- iKeamanan Web
