Pemerintah AS mengatakan pelaku ancaman yang terkait dengan kelompok ransomware RansomHub telah mengenkripsi dan mengekstrak data dari sedikitnya 210 korban sejak dimulainya pada Februari 2024.
Korbannya tersebar di berbagai sektor, termasuk air dan air limbah, teknologi informasi, layanan dan fasilitas pemerintah, perawatan kesehatan dan kesehatan masyarakat, layanan darurat, makanan dan pertanian, layanan keuangan, fasilitas komersial, manufaktur penting, transportasi, dan infrastruktur komunikasi penting.
“RansomHub adalah varian ransomware-as-a-service—sebelumnya dikenal sebagai Cyclops dan Knight—yang telah memantapkan dirinya sebagai model layanan yang efisien dan sukses (baru-baru ini menarik afiliasi terkenal dari varian terkemuka lainnya seperti LockBit dan ALPHV),” kata lembaga pemerintah.
Platform ransomware-as-a-service (RaaS) yang merupakan turunan dari Cyclops dan Knight, operasi kejahatan elektronik telah menarik afiliasi terkenal dari varian terkemuka lainnya seperti LockBit dan ALPHV (alias BlackCat) menyusul gelombang tindakan penegakan hukum baru-baru ini.
ZeroFox, dalam analisis yang diterbitkan akhir bulan lalu, mengatakan aktivitas RansomHub sebagai proporsi dari semua aktivitas ransomware yang diamati oleh vendor keamanan siber tersebut berada pada lintasan meningkat, mencakup sekitar 2% dari semua serangan pada Q1 2024, 5,1% pada Q2, dan 14,2% sejauh ini pada Q3.
“Sekitar 34% serangan RansomHub menargetkan organisasi di Eropa, dibandingkan dengan 25% di seluruh lanskap ancaman,” catat perusahaan tersebut.
Kelompok ini diketahui menggunakan model pemerasan ganda untuk mencuri data dan mengenkripsi sistem guna memeras korban, yang didesak untuk menghubungi operator melalui URL .onion yang unik. Perusahaan yang menjadi target yang menolak untuk memenuhi permintaan tebusan akan dipublikasikan informasinya di situs kebocoran data tersebut selama tiga hingga 90 hari.
Akses awal ke lingkungan korban difasilitasi dengan mengeksploitasi kerentanan keamanan yang diketahui di perangkat Apache ActiveMQ (CVE-2023-46604), Atlassian Confluence Data Center and Server (CVE-2023-22515), Citrix ADC (CVE-2023-3519), F5 BIG-IP (CVE-2023-46747), Fortinet FortiOS (CVE-2023-27997), dan Fortinet FortiClientEMS (CVE-2023-48788), antara lain.
Langkah ini diikuti oleh afiliasi yang melakukan pengintaian dan pemindaian jaringan menggunakan program seperti AngryIPScanner, Nmap, dan metode hidup di luar negeri (LotL) lainnya. Serangan RansomHub selanjutnya melibatkan pelucutan perangkat lunak antivirus menggunakan alat khusus untuk terbang di bawah radar.
“Setelah akses awal, afiliasi RansomHub membuat akun pengguna untuk persistensi, mengaktifkan kembali akun yang dinonaktifkan, dan menggunakan Mimikatz pada sistem Windows untuk mengumpulkan kredensial [T1003] dan meningkatkan hak istimewa ke SISTEM,” bunyi nasihat pemerintah AS.
“Afiliasi kemudian bergerak secara lateral di dalam jaringan melalui metode termasuk Remote Desktop Protocol (RDP), PsExec, AnyDesk, Connectwise, N-Able, Cobalt Strike, Metasploit, atau metode perintah-dan-kendali (C2) lain yang banyak digunakan.”
Aspek lain yang menonjol dari serangan RansomHub adalah penggunaan enkripsi intermiten untuk mempercepat proses, dengan eksfiltrasi data yang diamati melalui alat seperti PuTTY, bucket Amazon AWS S3, permintaan HTTP POST, WinSCP, Rclone, Cobalt Strike, Metasploit, dan metode lainnya.
Perkembangan ini terjadi saat Palo Alto Networks Unit 42 mengungkap taktik yang terkait dengan ransomware ShinyHunters, yang dilacak sebagai Bling Libra, yang menyoroti peralihannya ke pemerasan korban dibandingkan dengan taktik tradisional mereka untuk menjual atau menerbitkan data curian. Pelaku ancaman pertama kali terungkap pada tahun 2020.
“Kelompok tersebut memperoleh kredensial yang sah, yang bersumber dari repositori publik, untuk mendapatkan akses awal ke lingkungan Amazon Web Services (AWS) suatu organisasi,” kata peneliti keamanan Margaret Zimmermann dan Chandni Vaya.
“Meskipun izin yang terkait dengan kredensial yang disusupi membatasi dampak pelanggaran, Bling Libra menyusup ke lingkungan AWS organisasi dan melakukan operasi pengintaian. Kelompok pelaku ancaman menggunakan alat seperti Amazon Simple Storage Service (S3) Browser dan WinSCP untuk mengumpulkan informasi tentang konfigurasi bucket S3, mengakses objek S3, dan menghapus data.”
Hal ini juga mengikuti evolusi signifikan dalam serangan ransomware, yang telah bergerak melampaui enkripsi file hingga menggunakan strategi pemerasan yang kompleks dan memiliki banyak sisi, bahkan menggunakan skema pemerasan tiga kali lipat dan empat kali lipat, menurut SOCRadar.
“Pemerasan tiga kali lipat meningkatkan taruhannya, mengancam adanya cara gangguan tambahan di luar enkripsi dan eksfiltrasi,” kata perusahaan itu.
“Hal ini mungkin melibatkan pelaksanaan serangan DDoS terhadap sistem korban atau memperluas ancaman langsung kepada klien, pemasok, atau rekan korban lainnya untuk menimbulkan kerusakan operasional dan reputasi lebih lanjut pada mereka yang pada akhirnya menjadi sasaran skema pemerasan tersebut.”
Pemerasan empat kali lipat meningkatkan taruhannya dengan menghubungi pihak ketiga yang memiliki hubungan bisnis dengan para korban dan memeras mereka, atau mengancam para korban untuk membocorkan data dari pihak ketiga guna memberikan tekanan lebih lanjut kepada korban agar membayar.
Sifat menguntungkan dari model RaaS telah memicu lonjakan varian ransomware baru seperti Allarich, Cronus, CyberVolk, Datablack, DeathGrip, Hawk Eye, dan Insom. Hal ini juga telah menyebabkan aktor negara-bangsa Iran berkolaborasi dengan kelompok-kelompok terkenal seperti NoEscape, RansomHouse, dan BlackCat dengan imbalan sebagian dari hasil kejahatan ilegal tersebut.