Geng Hacker REvil Klaim di Balik Serangan Ransomware ke 9 Organisasi di Tiga Benua

Cyberthreat.id – Kelompok peretasan dibalik ransomware Sodinokibi, Revil Group, mengklaim telah melakukan seragan ke sembilan organisasi di tiga benua: Afrika, Eropa, Amerika Serikat dan Meksiko.

Revil Group merupakan operator di balik operasi ransomware Sodinokibi. Malware tersebut, yang pertama kali muncul pada tahun 2019, telah berkembang biak hingga menyerang berbagai korban, termasuk firma hukum selebriti yang berbasis di New York Grubman Shire Meiselas & Sacks, Travelex dan produsen minuman Jack Daniels, Brown-Forman Corp.

Dikutip dari Threat Post, menurut peneliti dari eSentire yang menulis laporan tentang klaim Revil Group, kelompok ini telah menyerang dua firma hukum, sebuah perusahaan asuransi, sebuah firma arsitektur, sebuah perusahaan konstruksi dan sebuah koperasi pertanian yang berlokasi di AS, serta dua bank internasional besar yang berlokasi di Meksiko dan Afrika, serta sebuah pabrik di Eropa. Tetapi mereka tidak menyebutkan nama perusahaan korban.

Direktur senior Unit Respon Ancaman (TRU) eSentire, Rob McLeod, mengatakan jika insiden ransomware yang diklaim oleh Revil Group sangat masuk akal. Terlebih serangan ini dilakukan setelah kampanye drive-by-download yang ekstensif dan terencana diluncurkan pada akhir Desember lalu.

“Satu-satunya tujuan kampanye berbahaya ini adalah menginfeksi sistem komputer profesional bisnis dengan ransomware, trojan perbankan Gootkit, atau alat intrusi Cobalt Strike,” ungkap McLeod.

Selain itu, kelompok ini juga telah memposting dokumen di forum bawah tanah. Dokumen tersebut berisi file yang diduga berasal dari sistem korban, termasuk direktori file komputer perusahaan, sebagian daftar pelanggan, kutipan pelanggan, dan salinan kontrak. Mereka bahkan memposting beberapa ID resmi, baik milik seorang karyawan atau pelanggan perusahaan korban.

“Kami tidak tahu jumlah tebusan yang mereka minta atau apakah tebusan telah dibayarkan, tetapi kami melihat beberapa korban diposting, dan kemudian informasi dan nama mereka telah ditarik dari situs web. Kami bertanya-tanya apakah ini menunjukkan pembayaran telah dilakukan?”

Meskipun para peneliti tidak 100 persen yakin bahwa klaim tersebut akurat, namun ketika meninjau beberapa dokumen yang diklaim oleh Revil Group berasal dari korban baru, banyak di antaranya tampak asli dan sah.

Pertama, dokumen tersebut tampaknya terkait dengan bisnis masing-masing korban. Dokumen itu juga menyertakan cap waktu bertanggal yang menunjukkan bahwa serangan tersebut mungkin terjadi belum lama ini.

Bahkan, untuk salah satu korban, yang merupakan perusahaan manufaktur peneliti menemukan laporan berita bahwa pabrikan telah terkena ransomware dan harus menghentikan produksi selama satu atau dua hari. Selain itu, peneliti juga menemukan, ada satu peringatan dalam beberapa dokumen yang berkaitan dengan bank di Afrika dan perusahaan asuransi mencantumkan cap tanggal yang lebih lama.

"Sebagai bukti, REvil menyediakan spreadsheet Excel tentang anggaran tahunan, konon dari berasal dari pabrikan.”

Para peneliti mengatakan salah satu bagian teka-teki keberhasilan REvil baru-baru ini dengan serangan ransomware mungkin adalah pemuat malware Gootloader, yang dirancang untuk menyebarkan ransomware.

Loader ini sebelumnya digunakan untuk mendistribusikan ransomware REvil serta keluarga malware Gootkit, dan telah berkembang menjadi kerangka kerja loader yang semakin canggih. Sekarang juga memperluas jumlah payload yang dikirimkannya untuk menyertakan trojan Kronos dan malware komoditas Cobalt Strike.

“Kami tahu kampanye ini cukup berhasil karena kami tidak hanya melihat laporan dari grup keamanan lain, tetapi kami juga menemukan banyak insiden di mana profesional bisnis dijebak dan mengunduh Gootloader ke komputer kerja mereka. Untungnya, kami dapat mendeteksi aktivitas tersebut dan mencegah berbagai infeksi malware terkait dalam organisasi karyawan, dua di antaranya adalah firma hukum dan satu lagi adalah firma konsultan profesional.”

Para peneliti mengatakan mereka telah melihat REvil mengembangkan taktik dan prosedur trik pemerasan (TTP) dengan menghubungi rekan bisnis korban dan media, untuk memberikan tekanan maksimum pada korban untuk membayar. Kelompok ancaman juga tampaknya memperbarui situs webnya untuk memudahkan penelusuran daftar korban mereka.[]

Editor: Yuswardi A. Suud