Cyberthreat.id – Perusahaan keamanan siber, Group-IB, mendeteksi kelompok peretas baru yang yang menargetkan sejumlah organisasi di Rusia.

Mereka adalah kelompok peretas ransomware yang mulai beroperasi awal Maret 2020. Target serangan mereka, seperti laboratorium medis, bank, produsen dan pengembang perangkat lunak Rusia.

“Para penyerang memasukkan alat peretasan ke jaringan korban lewat malware yang diunduh di sebuah email spear-phishing,” tutur Group-IB seperti dikutip dari Cyberscoop, diakses Minggu (27 September 2020).

Pada awal-awal kemunculan, menurut peneliti Group-IB, mereka memanfaatkan isu Covid-19; mengirimkan pesan berupa saran-saran palsu kepada lembaga keuangan tentang cara mengatur lingkungan kerja yang aman selama pandemi. Selain itu, mereka juga memakai modus sebagai organisasi tertentu. “Ini pertama kalinya mereka mengunakan TinyPosh, malware trojan yang dikembangkan sendiri (sebagai pintu belakang (backdoor),” tulis peneliti.

Peretas yang dijuluki OldGremlin itu, seperti umumnya peretas ransomware lain, mengenkripsi file-file komputer korban dan meminta uang tebusan sekitar US$50.000 dalam cryptocurrency dan memberikan alamat ProtonMail sebagai kontak.

Jarang ada grup ransomware berbahasa Rusia yang menargetkan korban juga berasal dari Rusia, tetapi ada preseden sebelumnya, menurut analis forensik digital senior Grup-IB Oleg Skulkin, yang mengidentifikasi grup peretasan “Silence” dan “Cobalt”.

“Apa yang membedakan OldGremlin dari aktor ancaman berbahasa Rusia lainnya adalah keberanian mereka untuk bekerja di Rusia,” kata Skulkin.

"Ini menunjukkan bahwa penyerang sedang menyempurnakan teknik mereka untuk mendapatkan keuntungan dari keunggulan tuan rumah sebelum mendunia ... atau mereka adalah perwakilan dari beberapa tetangga Rusia yang menguasai bahasa Rusia secara kuat."

Alat dan taktik OldGremlin

Serangan sukses terbaru yang diidentifikasi oleh Grup-IB, selain berkantor di Singapura juga berada di Moskow, adalah terhadap laboratorium diagnostik klinis pada bulan Agustus lalu.

Para penyerang memalsukan email dari RBC, perusahaan induk media terbesar Rusia, dengan subjek "Invoice". Korban mengklik tautan yang mengunduh arsip .zip yang berisi "pintu belakang kustom unik" yang oleh Grup-IB disebut TinyNode.

Dari situ, barulah ransomware menyusup beberapa pekan setelah serangan malware.

"Beberapa minggu setelah serangan itu diluncurkan, penjahat dunia maya menghapus cadangan server sebelum mengenkripsi jaringan korban dengan bantuan ransomware TinyCryptor (alias decr1pt), yang juga merupakan gagasan OldGremlin," tulis Group-IB.

 Selain RBC, OldGremlin telah menyamar dalam berbagai organisasi dalam setiap penyebaran email spear-phishing, seperti perusahaan keuangan mikro Rusia MIR dan Edinstvo, klinik gigi, kantor hukum, dan pabrik Belarus Tractor Works.[]