Cyberthreat.id - Aktor ancaman bermotivasi finansial yang dikenal sebagai UNC3944 beralih ke penerapan ransomware sebagai bagian dari perluasan strategi monetisasinya. Demikian Mandiant mengungkapkan kepada The Hacker News.

“UNC3944 telah menunjukkan fokus yang lebih kuat dalam mencuri sejumlah besar data sensitif untuk tujuan pemerasan dan mereka tampaknya memahami praktik bisnis Barat, mungkin karena komposisi geografis kelompok tersebut,” kata perusahaan intelijen ancaman tersebut.

“UNC3944 juga secara konsisten mengandalkan alat yang tersedia untuk umum dan perangkat lunak sah yang dikombinasikan dengan malware yang dapat dibeli di forum bawah tanah.”

Grup yang juga dikenal dengan nama 0ktapus, Scatter Swine, dan Scattered Spider ini telah aktif sejak awal tahun 2022, mengadopsi rekayasa sosial berbasis telepon dan phishing berbasis SMS untuk mendapatkan kredensial valid karyawan menggunakan halaman masuk palsu dan menyusup ke korban.

organisasi, mencerminkan taktik yang diadopsi oleh kelompok lain yang disebut LAPSUS$.

Meskipun grup ini awalnya berfokus pada perusahaan-perusahaan telekomunikasi dan alih daya proses bisnis (BPO), grup ini kini memperluas sasarannya hingga mencakup perhotelan, ritel, media dan hiburan, serta jasa keuangan, yang menggambarkan meningkatnya ancaman tersebut.

Ciri utama dari pelaku ancaman adalah mereka diketahui memanfaatkan kredensial korban untuk menyamar sebagai karyawan saat melakukan panggilan ke meja layanan organisasi dalam upaya mendapatkan kode autentikasi multi-faktor (MFA) dan/atau pengaturan ulang kata sandi.

Perlu dicatat bahwa Okta, awal bulan ini, memperingatkan pelanggan tentang serangan yang sama, dengan geng kejahatan elektronik memanggil meja bantuan TI korban untuk mengelabui personel pendukung agar mengatur ulang kode MFA untuk karyawan dengan hak istimewa tinggi, sehingga memungkinkan mereka mendapatkan akses ke rekening berharga itu.

Dalam satu contoh, seorang karyawan dikatakan telah menginstal malware RECORDSTEALER melalui unduhan perangkat lunak palsu, yang kemudian memfasilitasi pencurian kredensial.

Halaman masuk jahat, yang dirancang menggunakan kit phishing seperti EIGHTBAIT dan lainnya, mampu mengirimkan kredensial yang ditangkap ke saluran Telegram yang dikendalikan aktor dan menyebarkan AnyDesk.

Musuh juga telah diamati menggunakan berbagai pencuri informasi (misalnya, Atomic, ULTRAKNOT atau Meduza, dan Vidar) dan alat pencurian kredensial (misalnya, MicroBurst) untuk mendapatkan akses istimewa yang diperlukan untuk mencapai tujuannya dan meningkatkan operasinya.

Bagian dari aktivitas UNC3944 mencakup penggunaan layanan proxy perumahan komersial untuk mengakses korbannya guna menghindari deteksi dan perangkat lunak akses jarak jauh yang sah, serta melakukan pengintaian direktori dan jaringan yang ekstensif untuk membantu meningkatkan hak istimewa dan mempertahankan persistensi.

Yang juga perlu diperhatikan adalah penyalahgunaan sumber daya cloud milik organisasi korban untuk menampung utilitas jahat guna menonaktifkan firewall dan perangkat lunak keamanan serta mengirimkannya ke titik akhir lainnya, yang menggarisbawahi perkembangan keahlian kelompok peretas tersebut.

Temuan terbaru ini muncul ketika kelompok tersebut muncul sebagai afiliasi kru ransomware BlackCat (alias ALPHV atau Noberus), memanfaatkan status barunya untuk melanggar MGM Resorts dan mendistribusikan malware enkripsi file.

“Pelaku ancaman beroperasi dengan tempo operasional yang sangat tinggi, mengakses sistem penting dan mengambil data dalam jumlah besar selama beberapa hari,” Mandiant menunjukkan.

“Saat menyebarkan ransomware, pelaku ancaman tampaknya secara khusus menargetkan mesin virtual dan sistem lain yang penting bagi bisnis, kemungkinan besar dalam upaya untuk memaksimalkan dampak terhadap korban.”[]