Peneliti keamanan siber telah menandai keluarga ransomware baru bernama Ymir yang dikerahkan dalam serangan dua hari setelah sistem disusupi oleh malware pencuri bernama RustyStealer.
“Ymir ransomware memperkenalkan kombinasi unik antara fitur teknis dan taktik yang meningkatkan efektivitasnya,” kata vendor keamanan siber Rusia, Kaspersky.
“Pelaku ancaman memanfaatkan perpaduan fungsi manajemen memori yang tidak konvensional – malloc, memmove, dan memcmp – untuk mengeksekusi kode berbahaya langsung di memori. Pendekatan ini menyimpang dari aliran eksekusi sekuensial yang umum terlihat pada jenis ransomware yang tersebar luas, sehingga meningkatkan kemampuan silumannya.”
Kaspersky mengatakan pihaknya mengamati ransomware yang digunakan dalam serangan dunia maya yang menargetkan organisasi yang tidak disebutkan namanya di Kolombia, dengan pelaku ancaman sebelumnya mengirimkan malware RustyStealer untuk mengumpulkan kredensial perusahaan.
Kredensial yang dicuri diyakini digunakan untuk mendapatkan akses tidak sah ke jaringan perusahaan guna menyebarkan ransomware. Meskipun biasanya terdapat serah terima antara broker akses awal dan kru ransomware, tidak jelas apakah hal tersebut terjadi di sini.
“Jika broker tersebut memang merupakan aktor yang sama yang menyebarkan ransomware, ini bisa menjadi sinyal tren baru, menciptakan opsi pembajakan tambahan tanpa bergantung pada kelompok Ransomware-as-a-Service (RaaS) tradisional,” kata peneliti Kaspersky Cristian Souza.
Serangan ini terkenal karena memasang alat seperti Advanced IP Scanner dan Process Hacker. Juga digunakan dua skrip yang merupakan bagian dari malware SystemBC, yang memungkinkan pengaturan saluran rahasia ke alamat IP jarak jauh untuk mengeksfiltrasi file yang berukuran lebih besar dari 40 KB dan dibuat setelah tanggal tertentu.
Biner ransomware, pada bagiannya, menggunakan algoritma stream cipher ChaCha20 untuk mengenkripsi file, menambahkan ekstensi “.6C5oy2dVr6” ke setiap file terenkripsi.
“Ymir fleksibel: dengan menggunakan perintah –path, penyerang dapat menentukan direktori tempat ransomware harus mencari file,” kata Kaspersky. “Jika suatu file ada dalam daftar putih, ransomware akan melewatinya dan membiarkannya tidak terenkripsi. Fitur ini memberi penyerang kontrol lebih besar atas apa yang dienkripsi atau tidak.”
Perkembangan ini terjadi ketika penyerang di balik ransomware Black Basta terlihat menggunakan pesan obrolan Microsoft Teams untuk berinteraksi dengan calon target dan memasukkan kode QR berbahaya untuk memfasilitasi akses awal dengan mengarahkan mereka ke domain palsu.
“Motivasi yang mendasarinya kemungkinan akan meletakkan dasar bagi teknik tindak lanjut rekayasa sosial, meyakinkan pengguna untuk mengunduh alat pemantauan dan manajemen jarak jauh (RMM), dan mendapatkan akses awal ke lingkungan yang ditargetkan,” kata ReliaQuest. “Pada akhirnya, tujuan akhir para penyerang dalam insiden ini hampir pasti adalah penyebaran ransomware.”
Perusahaan keamanan siber tersebut mengatakan pihaknya juga mengidentifikasi contoh di mana pelaku ancaman berusaha mengelabui pengguna dengan menyamar sebagai personel pendukung TI dan mengelabui mereka agar menggunakan Quick Assist untuk mendapatkan akses jarak jauh, sebuah teknik yang telah diperingatkan oleh Microsoft pada Mei 2024.
Sebagai bagian dari serangan vishing, pelaku ancaman menginstruksikan korban untuk menginstal perangkat lunak desktop jarak jauh seperti AnyDesk atau meluncurkan Quick Assist untuk mendapatkan akses jarak jauh ke sistem.
Perlu disebutkan di sini bahwa serangan sebelumnya menggunakan taktik malspam, membanjiri kotak masuk karyawan dengan ribuan email dan kemudian menelepon karyawan tersebut dengan menyamar sebagai meja bantuan TI perusahaan untuk membantu memecahkan masalah tersebut.
Serangan Ransomware yang melibatkan keluarga Akira dan Fog juga mendapat manfaat dari sistem yang menjalankan SonicWall SSL VPN yang tidak ditambal terhadap CVE-2024-40766 untuk menembus jaringan korban. Sebanyak 30 intrusi baru yang memanfaatkan taktik ini telah terdeteksi antara Agustus dan pertengahan Oktober 2024, menurut Arctic Wolf.
Peristiwa-peristiwa ini mencerminkan evolusi berkelanjutan dari ransomware dan ancaman terus-menerus yang ditimbulkannya terhadap organisasi-organisasi di seluruh dunia, bahkan ketika upaya penegakan hukum untuk mengganggu kelompok kejahatan dunia maya telah menyebabkan fragmentasi lebih lanjut.
Bulan lalu, Secureworks, yang akan diakuisisi oleh Sophos awal tahun depan, mengungkapkan bahwa jumlah kelompok ransomware aktif telah mengalami peningkatan sebesar 30% dari tahun ke tahun, didorong oleh munculnya 31 kelompok baru di ekosistem tersebut.
“Meskipun terjadi pertumbuhan kelompok ransomware, jumlah korban tidak meningkat dengan kecepatan yang sama, hal ini menunjukkan lanskap yang jauh lebih terfragmentasi sehingga menimbulkan pertanyaan tentang seberapa sukses kelompok-kelompok baru ini,” kata perusahaan keamanan siber tersebut.
Data yang dibagikan oleh NCC Group menunjukkan bahwa total 407 kasus ransomware tercatat pada bulan September 2024, turun dari 450 pada bulan Agustus, penurunan sebesar 10% dari bulan ke bulan. Sebaliknya, 514 serangan ransomware tercatat pada bulan September 2023. Beberapa sektor utama yang menjadi sasaran selama periode ini mencakup industri, kebijakan konsumen, dan teknologi informasi.
Bukan itu saja. Dalam beberapa bulan terakhir, penggunaan ransomware telah meluas ke kelompok hacktivist yang bermotif politik seperti CyberVolk, yang menggunakan “ransomware sebagai alat pembalasan.”
Sementara itu, para pejabat AS sedang mencari cara-cara baru untuk melawan ransomware, termasuk mendesak perusahaan-perusahaan asuransi siber untuk menghentikan penggantian pembayaran uang tebusan sebagai upaya untuk mencegah korban membayar uang tebusan.
“Beberapa kebijakan perusahaan asuransi – misalnya mencakup penggantian pembayaran uang tebusan – memberi insentif pada pembayaran uang tebusan yang memicu ekosistem kejahatan dunia maya,” Anne Neuberger, Wakil Penasihat Keamanan Nasional AS untuk Teknologi Siber dan Berkembang, menulis dalam opini Financial Times. “Ini adalah praktik meresahkan yang harus diakhiri.”