Cyberthreat.id - Dua gelombang ransomware baru-baru ini yang menargetkan perusahaan Israel disinyalir dilakukan oleh peretas Iran.

Dilansir dari ZDnet, Senin (16 November 2020), serangan ransomware itu telah terjadi sejak pertengahan Oktober, meningkat bulan ini, dan berulang kali berfokus pada target Israel.

Perusahaan Israel dari semua ukuran telah menjadi sasaran pelaku yang menggunakan jenis ransomware Pay2Key dan WannaScream.

Peretas menerobos jaringan perusahaan, mencuri datanya, mengenkripsi file, dan meminta pembayaran besar untuk mengirimkan kunci dekripsi.

Menurut Ram Levi, pendiri dan CEO Konfidas, perusahaan konsultan keamanan siber yang berbasis di Israel, geng ransomware Pay2Key juga meluncurkan "direktori kebocoran" di web gelap tempat grup tersebut sekarang membocorkan data yang mereka curi dari perusahaan yang menolak membayar permintaan tebusan.

Serangan Pay2Key adalah kasus yang aneh. Tidak seperti kebanyakan operasi ransomware lain yang terjadi saat ini, serangan ini dilakukan berulang kali dan terutama berfokus pada menginfeksi perusahaan Israel.

Serangan dengan ransomware WannaScream telah terlihat di seluruh dunia, tetapi Omri Segev Moyal, pendiri dan CEO firma keamanan Israel Profero, mengatakan kepada ZDNet bahwa ransomware ini saat ini tersedia melalui model Ransomware-as-a-Service (RaaS). 

Pembayaran tebusan mengarah ke Iran
Profero, yang merupakan salah satu perusahaan keamanan lokal yang saat ini menyediakan layanan Incident Response (IR) ke banyak perusahaan Israel yang jadi sasaran, mengatakan hari ini pihaknya melacak beberapa pembayaran yang dilakukan perusahaan Israel ke Excoino, pertukaran mata uang kripto yang berbasis di Iran.

"Kecanggihan keseluruhan dari gelombang ransomware WannaScream dan Pay2Key sangat rata-rata. Tingkat kecanggihan yang rendah dengan Pay2Key memungkinkan kami melacak aliran bitcoin dengan mudah," kata Moyal.

"Tim kami menemukan aliran dananya ke Excoino, pertukaran mata uang kripto yang berbasis di Iran. Tindakan ini sangat jarang dilakukan oleh operator ransomware besar," tambah eksekutif Profero.

"Operator yang berpengalaman akan menggunakan layanan pencampuran, bertukar antara koin yang berbeda melalui sub-bursa Binance seperti ChangeNow, atau pertukaran lain yang kurang dikenal seperti coin2cards.

"Kami belum melihat satupun dari mereka dalam kasus ini. Ini mungkin menunjukkan asal penyerang, meskipun itu bisa menjadi bendera palsu seperti yang kita semua ketahui dalam industri ini."

Temuan Profero dan hubungan antara Pay2Key dan aktor ancaman yang berbasis di Iran juga dikonfirmasi hari ini oleh Check Point dan sumber ketiga yang berbicara dengan ZDNet dengan syarat anonim.

Check Point, yang pertama kali melihat gelombang ransomware Pay2Key minggu lalu, berencana untuk menerbitkan laporan mendalam tentang temuan terbaru dan hubungannya dengan Iran.

Sementara pembayaran belum dilacak ke Excoino untuk serangan WannaScream, indikator lain dalam proses negosiasi kode dan tebusan juga membuat Moyal dan lainnya berpikir bahwa grup ransomware ini juga dikelola oleh entitas Iran

Penilaian Moyal bahwa Pay2Key dan WannaScream adalah operasi yang tidak canggih juga dikonfirmasi oleh bukti dari insiden dunia nyata.

Misalnya, dalam beberapa insiden Pay2Key awal, server perintah dan kontrol ransomware tidak merilis kunci dekripsi ke beberapa korban yang membayar permintaan tebusan, sehingga perusahaan tidak dapat memulihkan file mereka.

Dalam kasus WannaScream, ransomware decrypter, aplikasi yang diterima korban untuk mendekripsi file mereka setelah membayar permintaan tebusan, juga telah melakukan kesalahan dalam beberapa kasus, yang juga membuat perusahaan tidak dapat memulihkan data mereka bahkan setelah melakukan pembayaran.

Dalam beberapa bulan terakhir, baik Israel dan Iran saling menuduh melakukan serangan dunia maya terhadap infrastruktur kritis masing-masing.

Sejauh ini, tidak ada bukti yang menghubungkan baik Pay2Key atau serangan WannaScream yang terjadi di Israel dengan entitas pemerintah Iran.[]