Cyberthreat.id – Perusahaan keamanan siber Abnormal Security dalam laporan terbarunya menemukan adanya kelompok penjahat siber yang menawarkan hadiah senilai US$1 juta dalam bentuk Bitcoin bagi siapa saja yang mau menyebarkan ransomware Black Kingdom di jaringan perusahaan tempat mereka bekerja. Ini bagian dari skema serangan orang dalam (insider threat).

Menurut peneliti, penawaran terebut berasal dari kelompok asal Nigeria. Dalam promosinya, aktor ancaman ini memberitahu karyawan yang tertarik bahwa serangan ransomware dapat dilakukan secara fisik atau jarak jauh. Untuk berkomunikasi tentang bisnis kriminal itu, mereka menyediakan kontak melalui akun email Outlook dan Telegram.

Black Kingdom, dikenal pula sebagai DemonWare dan Demon, menarik perhatian peneliti sejak Maret lalu ketika peretas megeksploitasi kelemahan ProxyLogon yang terdapat pada Microsoft Exchange Server. Ransomware ini bisa menginfeksi pada sistem komputer yang belum menambal kerentanan pada Microsoft Exhange Server.

Abnormal Security mendapati pola serangan itu pada 12 Agustus lalu. Peneliti lalu berpura-pura sebagai karyawan yang tertarik untuk mendapatkan proyek tersebut. Dihubungi via Telegram, penjahat itu secara tidak sengaja malah bercerita banyak tentang modus operandi serangan, yaitu berupa tautan bermuatan ransomware yang dapat dieksekusi oleh “karyawan” tersebut dari WeTransfer atua Mega.nz.

“Penjahat itu menginstruksikan kami untuk membuat file .exe dan menghapusnya dari recycle bin,” tutur Direktur Intelijen Ancaman di Abnormal Security, Crane Hassold, dikutip dari The Hacker News, diakses Senin (23 Agustus 2021).

“Tampak jelas, bahwa mereka mengharapkan seorang karyawan memiliki akses fisik ke server dan mereka tidak paham dengan forensik digital atau investigasi respons insiden,” ia menambahkan.

Abnormal Security menuding bahwa penawaran itu dilakukan oleh CEO Sociogram, startup jejaring sosial yang berbasis di Lagos, salah satu kota terbesar di Nigeria.  Tujuannya, menggunakan uang tebusan untuk "membangun perusahaan”. Dalam salah satu percakapan yang berlangsung selama lima har itu, peneliti juga mendapati, seseorang di balik penawaran menyebut dirinya sebagai "Mark Zuckerberg berikutnya”.

Yang juga perlu diperhatikan adalah metode penggunaan LinkedIn untuk mengumpulkan alamat email perusahaan dari eksekutif tingkat senior. Pola ini mengingatkan peneliti pada aktivitas serangan kompromi email bisnis (BEC) yang marak dari Nigeria.

"Gagasan orang dalam yang tidak puas sebagai ancaman keamanan siber bukanlah hal baru. Selama organisasi membutuhkan karyawan, akan selalu ada risiko orang dalam. Janji mendapatkan bagian dari uang tebusan mungkin tampak menarik, tetapi hampir tidak ada jaminan bahwa keterlibatan semacam ini benar-benar akan dihargai, dan kemungkinan besar seseorang yang menerima tawaran penyerang ini akan tertangkap (aparat hukum),"tutur Tim Erlin, wakil presiden manajemen produk dan strategi di Tripwire, perusahaan keamanan asal AS, menanggapi temuan tersebut.[]