Cyberthreat.id – Peneliti keamanan dari Group-IB mengungkapkan ada sekitar 34 kelompok kejahatan siber berbahasa Rusia menggunakan malware pencuri info seperti Raccoon dan Redline untuk mencuri 50.350.000 kata sandi akun dari lebih dari 896.000 dari Januari hingga Juli 2022.

Kredensial yang dicuri oleh para penjahat siber berupa wallet cryptocurrency, akun Steam, Roblox, Amazon, dan PayPal, serta catatan kartu pembayaran.

Dikutip dari Bleeping Computer, peneliti mengungkapkan pihaknya telah melacak operasi ini secara global, sebagian besar korban berada di Amerika Serikat, Jerman, India, Brasil, dan Indonesia, tetapi operasi jahat tersebut menargetkan 111 negara.

Pada tahun 2022, distribusi malware pencuri informasi mencapai tingkat yang belum pernah terjadi sebelumnya, sekarang melibatkan peretas berketerampilan rendah yang bercita-cita untuk mendapat untung lebih besar dari aktivitas ilegal mereka.

Group-IB mengatakan penjahat dunia maya yang memicu pertumbuhan penyebaran pencuri info adalah penipu tingkat rendah yang sebelumnya bekerja sebagai penelepon korban dalam kampanye phishing yang dikenal sebagai “Classiscam”.

“Pada puncaknya, terdiri lebih dari seribu kelompok kriminal dan ratusan ribu situs web palsu telah menyebabkan penjahat bersaing untuk mendapatkan sumber daya dan mencari cara baru untuk menghasilkan keuntungan,” kata peneliti Group-IB.

Group-IB mengatakan popularitas skema yang melibatkan pencuri dapat dijelaskan dengan penghalang masuk yang rendah. Pemula tidak perlu memiliki pengetahuan teknis lanjutan karena prosesnya sepenuhnya otomatis, dan satu-satunya tugas pekerja adalah membuat file dengan pencuri di bot Telegram dan mengarahkan lalu lintas ke sana.

Saat ini, setidaknya ada 34 kelompok kejahatan dunia maya aktif di Telegram yang beroperasi sebagai geng pencuri informasi berskala besar, masing-masing beranggotakan sekitar 200 orang. 23 grup diantaranya menggunakan pencuri Redline, delapan menggunakan Raccoon, dan tiga menggunakan malware khusus mereka sendiri.b

SEKOIA juga mencatat awal pekan ini bahwa pencuri info lain bernama 'Aurora' mendapatkan daya tarik di forum bawah tanah dan telah diadopsi oleh tujuh kelompok ancaman terkemuka. Bahkan, peningkatan aktivitas pencuri info ditunjukkan dalam statistik yang disusun oleh laporan Group-IB, yang membandingkan periode 10 bulan di tahun 2021 dengan periode tujuh bulan di tahun 2022.

“Kami juga mencatat bahwa dalam tujuh bulan pertama tahun ini para aktor berfokus pada pencurian akun Steam, Epic Games, dan Roblox, mencatat peningkatan lima kali lipat dibandingkan tahun lalu,” kata Group-IB.

Group-IB menyebutkan bahwa Telegram memainkan peran penting dalam operasi kejahatan siber ini, baik dalam mengatur kampanye mereka maupun mempertahankan struktur fungsional yang mengakomodasi aktivitas pencurian data mereka.

Saluran Telegram pribadi ini menawarkan dukungan dan panduan teknis untuk operator, dapat berfungsi sebagai titik eksfiltrasi data, menjadi tuan rumah pengumuman penting, bertindak sebagai portal pelaporan bug, dan juga menampilkan bot yang dapat menghasilkan pembuatan malware khusus untuk klien 24/7.

Grup tersebut masih mematuhi aturan hierarkis, dengan administrator duduk di peringkat teratas, menjual akses ke malware pencuri info kepada pekerja dengan harga beberapa ratus USD per bulan. Sementara itu, para pekerja bertanggung jawab untuk mengarahkan lalu lintas ke situs yang menjatuhkan malware, yang mereka lakukan dengan menggunakan video YouTube, BlackSEO, keracunan SEO, file torrent bertali, atau postingan media sosial yang berbahaya.

Group-IB menambahkan, pengguna dapat meminimalkan kemungkinan infeksi pencuri info dengan menghindari pengunduhan dari lokasi yang teduh, memeriksa semua file yang dapat dijalankan yang diunduh dengan solusi antivirus sebelum dibuka, dan memperbarui sistem mereka.