Cyberthreat.id - Peneliti keamanan siber menjelaskan cara kerja operasi ransomware yang dipimpin Mikhail Pavlovich Matveev. Warga negara Rusia ini didakwa oleh pemerintah AS atas dugaan melancarkan ribuan serangan siber di seluruh dunia.

Matveev, yang tinggal di Saint Petersburg, dikenal dengan nama samaran Wazawaka, m1x, Boriselcin, Uhodiransomwar, Orange, dan waza. Ia diduga memainkan peran penting dalam pengembangan dan penerapan varian ransomware LockBit, Babuk, dan Hive sejak Juni 2020.

“Wazawaka dan anggota timnya secara jelas menunjukkan keserakahan yang tidak pernah terpuaskan terhadap pembayaran uang tebusan, menunjukkan pengabaian yang signifikan terhadap nilai-nilai etika dalam operasi siber mereka,” kata perusahaan keamanan siber Swiss PRODAFT dalam analisis komprehensif yang dibagikan kepada The Hacker News.

“Dengan menggunakan taktik yang melibatkan intimidasi melalui ancaman untuk membocorkan file sensitif, terlibat dalam praktik tidak jujur, dan terus menyimpan file bahkan setelah korban mematuhi pembayaran uang tebusan, hal ini merupakan contoh kekosongan etika yang lazim dalam praktik kelompok ransomware tradisional.”

Temuan PRODAFT merupakan hasil data yang dikumpulkan antara April hingga Desember 2023 dengan menyadap ribuan log komunikasi antara berbagai pelaku ancaman yang berafiliasi dengan varian ransomware berbeda.

Matawveev dikatakan memimpin tim yang terdiri dari enam penguji penetrasi – 777, bobr.kurwa, krbtgt, shokoladniy_zayac, WhyNot, dan dushnila – untuk melaksanakan serangan.

Grup ini memiliki hierarki yang datar, sehingga mendorong kolaborasi yang lebih baik antar anggota.

“Setiap individu menyumbangkan sumber daya dan keahlian sesuai kebutuhan, menunjukkan tingkat fleksibilitas yang luar biasa dalam beradaptasi dengan skenario dan situasi baru,” kata PRODAFT.

Matveev, selain bekerja sebagai afiliasi untuk Conti, LockBit, Hive, Trigona, dan NoEscape, juga memiliki peran tingkat manajemen dengan grup ransomware Babuk hingga awal tahun 2022, sambil berbagi apa yang digambarkan sebagai "hubungan kompleks" dengan aktor lain bernama Dudka, yang kemungkinan merupakan pengembang di balik Babuk dan Monti.

Serangan yang dilakukan oleh Matveev dan timnya melibatkan penggunaan Zoominfo dan layanan seperti Censys, Shodan, dan FOFA untuk mengumpulkan informasi tentang para korban.

Merekamengandalkan kelemahan keamanan yang diketahui dan perantara akses awal untuk mendapatkan pijakan, selain menggunakan campuran kebiasaan dan alat siap pakai untuk melakukan brute force pada akun VPN, meningkatkan hak istimewa, dan menyederhanakan kampanye mereka.

“Setelah pencapaian akses awal, Wazawaka dan timnya terutama menggunakan perintah PowerShell untuk menjalankan alat Pemantauan dan Manajemen Jarak Jauh (RMM) pilihan mereka,” kata perusahaan itu.

“Secara khusus, MeshCentral menonjol sebagai perangkat unik tim, yang sering digunakan sebagai perangkat lunak sumber terbuka pilihan mereka untuk berbagai operasi.”

Analisis PRODAFT lebih lanjut mengungkap hubungan antara Matveev dan Evgeniy Mikhailovich Bogachev, warga negara Rusia yang terkait dengan pengembangan botnet GameOver Zeus, yang dibongkar pada tahun 2014, dan Evil Corp.

Perlu dicatat bahwa operasi ransomware Babuk berganti nama menjadi PayloadBIN pada tahun 2021, dan PayloadBIN dikaitkan dengan Evil Corp dalam upaya nyata untuk menghindari sanksi yang dijatuhkan AS terhadapnya pada bulan Desember 2019.

“Asosiasi teknis ini, ditambah dengan hubungan yang diketahui antara Wazawaka dan penjahat dunia maya terkenal Bogachev, menunjukkan adanya hubungan yang lebih dalam antara Wazawaka, Bogachev, dan operasi Evil Corp,” kata PRODAFT.[]