Geng Ransomware Rusia Terindikasi Mulai Kolaborasi dengan Hacker China
Ilustrasi
Cyberthreat.id - Ada beberapa aktivitas tidak biasa yang muncul di forum cybercrime berbahasa Rusia, di mana peretas tampaknya menjangkau rekan-rekan China untuk berkolaborasi.
Upaya untuk merekrut aktor ancaman Tiongkok ini terutama terlihat di forum peretasan RAMP, yang mendorong aktor berbahasa Mandarin untuk berpartisipasi dalam percakapan, berbagi kiat, dan berkolaborasi dalam serangan.
Pengguna Cina di forum Rusia
Menurut laporan baru oleh Flashpoint, seperti dilansir Bleeping Computer, Rabu (17 November 2021), pengguna tingkat tinggi dan administrator RAMP sekarang secara aktif mencoba berkomunikasi dengan anggota forum baru, menggunakan bahasa Mandarin yang diterjemahkan mesin.
Upaya itu tampaknya mulai menuai hasil. Forum tersebut dilaporkan telah mendapat 30 pendaftar baru yang tampaknya berasal dari China, jadi ini bisa menjadi awal dari sesuatu yang penting.
Para peneliti mensinyalir penyebab yang paling mungkin adalah bahwa geng ransomware Rusia berusaha membangun aliansi dengan aktor China untuk meluncurkan serangan siber terhadap target AS, memperdagangkan celah keamanan atau kerentanan, atau bahkan merekrut bakat baru untuk operasi Ransomware-as-a-Service (RaaS) mereka. .
Seorang analis ancaman mengatakan kepada BleepingComputer awal bulan ini bahwa inisiatif ini dimulai oleh admin RAMP yang dikenal sebagai Kajit, yang mengaku baru-baru ini menghabiskan beberapa waktu di China dan dapat berbicara bahasa China.
Dalam versi RAMP sebelumnya, dia telah mengisyaratkan bahwa dia akan mengundang aktor ancaman China ke forum, yang tampaknya sedang berlangsung.
Namun, peretas Rusia yang mencoba berkolaborasi dengan aktor ancaman China tidak terbatas pada forum peretasan RAMP karena Flashpoint juga telah melihat kolaborasi serupa di forum peretasan XSS.
"Pada tangkapan layar di bawah, pengguna XSS "hoffman" menyapa dua anggota forum yang menyatakan diri mereka sebagai orang Cina," kata peneliti Flashpoint dalam laporan terbarunya.
"Aktor ancaman bertanya kepada mereka apakah mereka dapat memberikan informasi tentang ransomware dan membeli berbagai jenis kerentanan sistem. Bahasanya tampaknya adalah bahasa Mandarin yang diterjemahkan mesin."
Berdasarkan riwayat sebelumnya yang terkait dengan admin RAMP, Flashpoint menggarisbawahi bahwa selalu ada kemungkinan bahwa ini hanyalah tabir asap, tanpa ada pengguna Cina asli yang bergabung dengan RAMP.
Bulan lalu, seorang admin RAMP yang dikenal sebagai 'Oranye' atau 'boriselcin' dan yang menjalankan situs "Groove", menerbitkan sebuah postingan yang menyerukan para pelaku ancaman untuk menyerang AS. Namun, setelah media meliput posting ini, aktor Groove mengklaim bahwa operasi itu palsu dari awal dan dibuat untuk menjebak dan memanipulasi media dan peneliti keamanan Namun, peneliti keamanan dari McAfee dan Intel 471 percaya bahwa itu kemungkinan adalah upaya pelaku ancaman untuk menutupi fakta bahwa upaya ransomware-as-a-service yang mereka lakukan tidak berjalan sesuai rencana.
Namun, operator ransomware Conti baru-baru ini mengunggah iklan ke forum RAMP untuk merekrut afiliasi dan membeli akses awal ke jaringan. Geng tersebut mengatakan bahwa mereka biasanya hanya bekerja dengan peretas yang berbahasa Rusia tetapi membuat pengecualian untuk pelaku ancaman yang berbahasa China untuk menghormati admin RAMP.
Dengan demikian, tampaknya forum RAMP secara aktif mengundang aktor ancaman berbahasa China untuk berpartisipasi dalam percakapan dan serangan.
RAMP masih berkembang
Sekarang RAMP kembali online, tampaknya terus berkembang, meskipun gelombang DDOSing terus berlanjut segera setelah peluncurannya.
RAMP didirikan musim panas lalu oleh anggota inti geng ransomware Babuk asli, yang bertujuan untuk berfungsi sebagai tempat baru untuk membocorkan data berharga yang dicuri dari serangan siber dan merekrut afiliasi ransomware.
Kasus penting dari kebocoran semacam itu terjadi pada bulan September ketika admin RAMP memposting 498.908 kredensial Fortinet VPN untuk mengakses 12.856 perangkat di berbagai jaringan perusahaan.
Meskipun banyak dari kredensial ini sudah tua, peneliti keamanan menyatakan bahwa banyak kredensial yang masih valid dan memungkinkan forum RAMP membangun reputasi di lapangan.
Flashpoint melaporkan bahwa RAMP telah mencapai iterasi ketiga, menggunakan domain .onion baru dan mengharuskan semua pengguna sebelumnya untuk mendaftar ulang. Namun, mereka tidak lagi mengharuskan pengguna untuk memiliki keanggotaan di forum peretasan lain dan tampaknya lebih terbuka untuk mereka yang berkomunikasi dengan bahasa Inggris.[]
