Cyberthreat.id - Kebocoran ransomware LockBit 3.0 tahun lalu telah menyebabkan pelaku ancaman menyalahgunakan alat tersebut untuk menghasilkan varian baru. Demikian laporan The Hacker News.

Perusahaan keamanan siber Rusia Kaspersky mengatakan pihaknya mendeteksi intrusi ransomware yang menggunakan versi LockBit tetapi dengan prosedur permintaan tebusan yang sangat berbeda.

“Penyerang di balik insiden ini memutuskan untuk menggunakan catatan tebusan berbeda dengan judul terkait dengan kelompok yang sebelumnya tidak dikenal, yang disebut NATIONAL HAZARD AGENCY,” kata peneliti keamanan Eduardo Ovalle dan Francesco Figurelli sebagaimana ditulis The Hacker News.

Catatan tebusan yang diperbarui secara langsung menentukan jumlah yang harus dibayarkan untuk mendapatkan kunci dekripsi, dan mengarahkan komunikasi ke layanan Tox dan email, tidak seperti grup LockBit, yang tidak menyebutkan jumlah tersebut dan menggunakan platform komunikasi dan negosiasinya sendiri.

NATIONAL HAZARD AGENCY bukanlah satu-satunya geng kejahatan dunia maya yang menggunakan pembuat LockBit 3.0 yang bocor. Beberapa pelaku ancaman lain yang diketahui memanfaatkannya termasuk Bl00dy dan Buhti.

Kaspersky mencatat pihaknya mendeteksi total 396 sampel LockBit berbeda dalam telemetrinya, dimana 312 artefak dibuat menggunakan pembuat yang bocor. Sebanyak 77 sampel tidak menyebutkan "LockBit" dalam catatan tebusan.

“Banyak parameter yang terdeteksi sesuai dengan konfigurasi default pembuatnya, hanya beberapa yang mengandung perubahan kecil,” kata para peneliti. "Ini menunjukkan sampel tersebut kemungkinan dikembangkan untuk kebutuhan mendesak atau mungkin oleh pihak yang malas."

Menurut The Hacker News, pengungkapan itu terjadi ketika Netenrich menyelidiki jenis ransomware yang disebut ADHUBLLKA yang telah berganti nama beberapa kali sejak tahun 2019 (BIT, LOLKEK, OBZ, U2K, dan TZW), sambil menargetkan individu dan usaha kecil dengan imbalan pembayaran kecil dalam kisaran $800 hingga $1,600 dari setiap korban.

Meskipun masing-masing iterasi ini disertai dengan sedikit modifikasi pada skema enkripsi, catatan tebusan, dan metode komunikasi, pemeriksaan lebih dekat telah mengaitkan semuanya kembali ke ADHUBLLKA karena kesamaan kode sumber dan infrastruktur.

“Ketika sebuah ransomware berhasil di pasaran, sangatlah umum untuk melihat penjahat dunia maya menggunakan sampel ransomware yang sama – dengan sedikit mengubah basis kode mereka – untuk memulai proyek lain,” kata peneliti keamanan Rakesh Krishnan sebagaimana dikutip The Hacker News.

“Misalnya, mereka mungkin mengubah skema enkripsi, catatan tebusan, atau saluran komunikasi perintah dan kontrol (C2) dan kemudian mengubah nama mereka menjadi ransomware ‘baru’.”

Ransomware tetap merupakan ekosistem yang berkembang secara aktif, dengan seringnya terjadi perubahan taktik dan menargetkan untuk semakin fokus pada lingkungan Linux yang menggunakan keluarga seperti Trigona, Monti, dan Akira, yang terakhir memiliki tautan yang sama dengan pelaku ancaman yang berafiliasi dengan Conti.

Akira juga dikaitkan dengan serangan yang mempersenjatai produk Cisco VPN sebagai vektor serangan untuk mendapatkan akses tidak sah ke jaringan perusahaan. Cisco telah mengakui bahwa pelaku ancaman menargetkan Cisco VPN yang tidak dikonfigurasi untuk otentikasi multi-faktor.

“Para penyerang sering fokus pada tidak adanya atau diketahuinya kerentanan dalam otentikasi multi-faktor (MFA) dan kerentanan yang diketahui dalam perangkat lunak VPN,” kata perusahaan peralatan jaringan tersebut.

“Setelah penyerang mendapatkan pijakan di jaringan target, mereka mencoba mengekstrak kredensial melalui dump LSASS (Layanan Subsistem Otoritas Keamanan Lokal) untuk memfasilitasi pergerakan lebih lanjut dalam jaringan dan meningkatkan hak istimewa jika diperlukan.”

Perkembangan ini juga terjadi di tengah lonjakan rekor serangan ransomware, dimana kelompok ransomware Cl0p telah menembus 1.000 organisasi terkenal dengan mengeksploitasi kelemahan pada aplikasi MOVEit Transfer untuk mendapatkan akses awal dan mengenkripsi jaringan yang ditargetkan.

Entitas yang berbasis di AS menyumbang 83,9% dari korban korporasi, diikuti oleh Jerman (3,6%), Kanada (2,6%), dan Inggris (2,1%). Lebih dari 60 juta orang dikatakan terkena dampak kampanye eksploitasi massal yang dimulai pada Mei 2023.

Namun, radius serangan ransomware rantai pasokan kemungkinan akan jauh lebih tinggi. Perkiraan menunjukkan bahwa para pelaku ancaman diperkirakan akan mendapatkan keuntungan ilegal berkisar antara $75 juta hingga $100 juta dari upaya mereka.

“Meskipun kampanye MOVEit mungkin berdampak langsung pada lebih dari 1.000 perusahaan, dan dampaknya lebih besar secara tidak langsung, persentase korban yang sangat kecil berusaha untuk bernegosiasi, apalagi mempertimbangkan untuk membayar,” kata Coveware.

"Mereka yang membayar, membayar jauh lebih banyak dibandingkan kampanye CloP sebelumnya, dan beberapa kali lebih banyak dibandingkan Jumlah Tebusan Rata-rata global sebesar $740,144 (+126% dari Q1 2023)."

Terlebih lagi, menurut Laporan Musuh Aktif Sophos 2023, waktu tunggu rata-rata untuk insiden ransomware turun dari sembilan hari pada tahun 2022 menjadi lima hari pada paruh pertama tahun 2023, yang menunjukkan bahwa “geng ransomware bergerak lebih cepat dari sebelumnya.”

Sebaliknya, median waktu tunggu untuk insiden non-ransomware meningkat dari 11 menjadi 13 hari. Waktu tinggal maksimum yang diamati selama periode waktu tersebut adalah 112 hari.

“Dalam 81% serangan ransomware, muatan terakhir diluncurkan di luar jam kerja tradisional, dan untuk serangan yang disebarkan selama jam kerja, hanya lima serangan yang terjadi pada hari kerja,” kata perusahaan keamanan siber tersebut. “Hampir setengah (43%) serangan ransomware terdeteksi pada hari Jumat atau Sabtu.”[]