Cyberthreat.id – Firma keamanan siber AS, FireEye, mendokumentasikan aktivitas terpisah lima geng peretas yang diduga terkoneksi ke kelompok peretas ransomware DarkSide.

DarkSide yang menyediakan sewa ransomware (RaaS) sedang naik daun sepekan terakhir . Mereka disebut-sebut oleh FBI sebagai biang keladi peretasan ke Colonial Pipeline, operator pipa bahan bakar terbesar di AS yang melayani hampir separuh kebutuhan bahan bakar di Pantai Timur AS.

Colonial Pipeline dilanggar jaringan komputer oleh peretas pada Jumat (7 Mei). Insiden siber tersebut memaksa perusahaan menghentikan seluruh operasional pengiriman bahan bakar. Kejadian tersebut membuat sejumlah pelaku bisnis khawatir dengan krisis bahan bakar.

Pada Rabu (12 Mei), menurut kantor berita TASS, Colonial Pipeline mulai beroperasi, tapi untuk pasokan bahan bakar secara normal masih butuh beberapa hari. Perusahaan berjanji akan mengirim bensin, solar, dan bahan bakar jet sebanyak mungkin dengan aman.

Dalam pernyataan di situs webnya, Selasa, perusahaan mengatakan, harus bekerja secara manual dalam beberapa hal sejak insiden tersebut. Menurut BBC, situs web perusahaan juga dimatikan dan diblokir untuk semua lalu lintas dari luar AS menyusul insiden tersebut.

Pantauan Cyberthreat.id, situs web tidak bisa diakses dan muncul keterangan bahwa akses ditolak "Error 16". Hanya, jika diakses melalui layanan VPN dari Amerika Serikat, situs web tersebut dapat diakses.

Mitra DarkSide

Meski tak mengakui secara eksplisit sebagai pelaku serangan itu, DarkSide juga merespons dengan mengeluarkan siaran pers di situs web berbasis TOR-nya. DarkSide membantah bahwa pihaknya memiliki hubungan dengan pemerintahan negara mana pun. Ini lantaran sebelumnya FBI dan penegak hukum AS mengaitkan mereka dengan Rusia. Ini gara-garanya DarkSide diketahui dalam beroperasi menggunakan bahasa Rusia.

DarkSide mengatakan bekerja apolitis dan hanya bermotif uang semata. Uniknya, setelah kejadian Colonial Pipeline, tim inti DarkSide memutuskan untuk mengevaluasi dan menyeleksi kembali serangan siber yang diluncurkan mitra kerjanya (si penyewa ransomware-nya).

Dalam operasinya, DarkSide selalu bermitra dengan peretas lain. Mereka berbagi uang tebusan yang dibayar oleh korban. Tim inti DarkSide hanya bertugas membuat ransomware dan bernegosiasi tentang pembayaran uang tebusan, sedangkan mitra kerjanya yang melakukan eksekusi peretasan.

Seperti dikutip dari ZDNet, Rabu (12 Mei), mitra kerja diberi akses ke malware khusus – dalam hal ini, varian ransomware DarkSide – sebagai imbalan untuk pengembang yang menerima sebagian dari keuntungan pembayaran tebusan.

Menurut FireEye, siapa pun yang mencoba untuk bergabung dengan grup DarkSide harus lulus wawancara, dan jika mereka berhasil, akan diberikan panel kontrol untuk memilih ransomware build mereka, mengelola korbannya, dan menghubungi dukungan.

Selain itu, pengguna dapat menentukan informasi apa yang dicuri selama serangan siber, lalu dapat dipublikasikan di situs kebocoran utama DarkSide. Ini dikenal sebagai taktik pemerasan ganda; di mana perusahaan yang menolak membayar kunci dekripsi, kemudian diancam mengungkap data kepada publik.

Menurut FireEye, tiga dari lima geng yang ditemukan dijuluki dengan nama “UNC2628”, “UNC2659”, dan “UNC2465”.

• UNC2628. Geng ini telah aktif sejak Februari lalu. Mereka cenderung bergerak cepat dari infeksi awal ke penyebaran ransomware dan mungkin hanya mengintai di jaringan yang disusupi selama dua hingga tiga hari sebelum memulai enkripsi. UNC2628 dianggap bermitra dengan layanan RaaS lainnya termasuk REvil dan Netwalker.

• UNC2659. Aktif sejak setidaknya Januari lalu, berpindah dari akses awal ke penyebaran ransomware dalam rata-rata 10 hari. Mengeksploitasi kerentanan berlabel CVE-2021-20016 untuk mendapatkan akses awal, kerentanan yang sekarang telah ditambal di SonicWall SMA100 SSL VPN, layanan yang dirancang untuk pekerja seluler. "Ada beberapa bukti yang menunjukkan bahwa pelaku ancaman mungkin telah menggunakan kerentanan untuk menonaktifkan opsi otentikasi multi-faktor pada SonicWall VPN, meskipun ini belum dikonfirmasi," kata FireEye. Aplikasi TeamViewer juga dipakai untuk mempertahankan diri di mesin yang disusupi. Mereka mengeksfiltrasi file sebelum enkripsi data komputer.

• UNC2465: Aktif di dunia maya sejak April 2019. Geng ini sekarang menggunakan email phishing untuk mengirimkan ransomware melalui pintu belakang (backdoor) “Smokedham .NET”. Dalam kasus yang didokumentasikan oleh FireEye, akses awal ke jaringan diperoleh beberapa bulan sebelum eksekusi ransomware. Pintu belakang “Smokedham” memiliki kemampuan eksekusi perintah .NET sewenang-wenang, keylogging, dan tangkapan layar. Utilitas NGROK juga digunakan oleh pelaku ancaman untuk menghindari firewall dan mengekspose port layanan desktop jarak jauh.[]