Cyberthreat.id - Peneliti Symantec menemukan operator ransomware Sodinokibi sedang bekerja menargetkan jaringan sistem kasir digital point of sale (PoS). Diantara modus yang dilakukan hacker maupun penjahat cyber adalah menginfeksi lewat Cobalt Strike malware. Setelah terinfeksi barulah ransomware Sodinokibi disebarkan.

Para penjahat cyber mengambil alih jaringan korban untuk mengambil informasi kartu kredit atau aplikasi pembayaran digital PoS. Ini merupakan taktik baru yang memungkinkan penyerang mendapatkan keuntungan besar melalui pembayaran uang tebusan (dari ransomware) sekaligus memperoleh data kartu kredit korbannya.

Peretasan melalui aplikasi PoS memang menjadi favorit para hacker untuk mencuri data kartu kredit. Para peneliti menemukan ransomware Sodinokibi menargetkan sistem PoS dari tiga perusahaan besar yang tidak disebutkan namanya, tetapi berasal dari sektor jasa, sektor makanan-minuman, dan sektor kesehatan.

Sayangnya, dari tiga kasus yang diamati, masih belum jelas apakah penyerang menargetkan perangkat lunak PoS untuk mengenkripsi sebagai bagian dari serangan ransomware, atau karena ingin mencuri informasi kartu kredit pada sistem.

"Serangan terhadap perangkat lunak PoS ini menarik karena biasanya bukan sesuatu yang dapat terjadi bersamaan. Apakah ini hanya kegiatan oportunistik atau skenario ini diatur menjadi taktik baru yang diadopsi oleh geng ransomware," ungkap para peneliti dilansir Threat Post, Selasa (23 Juni 2020).

Steve Doherty - analis Threat Intelligence dari Symantec - mengatakan telah mengamati muatan pemindaian PoS sedang diunduh dari Pastebin. Menurut dia, sebelum mengirimkan ransomware Sodinokibi, hacker meretas perusahaan dengan malware Cobalt Strike. Dari delapan organisasi/perusahaan yang diamati peneliti, hanya tiga yang awalnya diinfeksi dengan Cobalt Strike.

"Cobalt Strike dimanfaatkan oleh para penyerang pada tahap awal serangan. Setelah mereka melakukan traverse lateral dan memperoleh kredensial istimewa, mereka kemudian akan menyebarkan Sodinokibi. Mungkin juga mereka hanya mengerahkan Sodinokibi ke jaringan organisasi yang dirasa bakal membayar uang tebusan," kata Doherty.

Cobalt Strike merupakan alat (tools) off-the-shelf yang dapat digunakan untuk memuat shellcode ke sistem yang diretas. Malware ini memiliki kegunaan yang sah sebagai alat pengujian penetrasi (pentest), tetapi sering dieksploitasi oleh hacker dan penjahat cyber.

Serangan Cobalt Strike biasanya dimulai dengan mengeksploitasi perangkat jaringan yang rentan atau meluncurkan serangan brute-force pada server Remote Desktop Protocol (RDP). Para peneliti percaya, taktik infeksi awal inilah yang digunakan dalam operasi terbaru Sodinokibi. Setelah menginfeksi perusahaan, para penyerang kemudian menggunakan alat yang sah untuk menghindari deteksi.

Cobalt Strike digunakan untuk melakukan pencurian kredensial pada mesin target. Termasuk menambahkan akun pengguna palsu sebagai upaya untuk mempertahankan keberadaan mereka dalam sistem dan jaringan.

"Begitu berada di dalam jaringan, para penyerang mengambil berbagai langkah untuk mengurangi kemungkinan terdeteksi sekaligus meningkatkan peluang serangan."

Sodinokibi Bekerja

Penyerang mengunduh ransomware Sodinokibi dengan tujuan mengenkripsi data korban untuk meminta tebusan $ 50 ribu dalam bentuk cryptocurrency Monero. Tentu saja imbalannya adalah dekripsi data.

"Jika perusahaan tidak membayar dalam tiga jam pertama, tebusan dinaikkan menjadi $ 100 ribu," tulis peneliti.

Sodinokibi (alias REvil) pertama kali muncul pada bulan April 2019 dan sejak itu muncul di beberapa serangan cyber level tinggi. Seperti yang pertama terjadi di bulan Januari 2020 yang menargetkan Travelex. Kemudian serangan terhadap firma hukum di New York yang sebagian besar kliennya adalah selebriti Hollywood.

Sodinokibi beroperasi sebagai ransomware-as-a-service (RaaS). RaaS adalah skenario jahat dimana mana satu kelompok hacker mempertahankan kode dan menyewakannya kepada kelompok lain, yang dikenal sebagai afiliasi, yang melakukan serangan dan menyebarkan ransomware.

"Setiap keuntungan yang diperoleh kemudian dibagi antara afiliasi dan geng asli."

Dalam insiden yang diamati peneliti Symantec, dua perusahaan makanan dan jasa yang ditargetkan dalam operasi Malware dan Ransomware ini adalah perusahaan multinasional. Menurut para peneliti, perusahaan multinasional yang jadi korban diperkirakan bersedia membayar tebusan.

Para peneliti menyadari bahwa para penjahat cyber ini menggunakan Sodinokibi yang canggih dan terampil. Terlebih, tidak ada tanda-tanda yang menunjukkan aktivitas geng ransomware ini bakal menurun. Perusahaan yang ditargetkan oleh ransomware ini cenderung organisasi/perusahaan besar.

"Jadi, perusahaan perlu mewaspadai ancaman sejak dini karena kerusakan yang ditimbulkan oleh aktivitas jahat ini luar biasa. []

Redaktur: Arif Rahman