Peneliti Kaitkan Ransomware Cartel Dengan Grup Ransomware REvil
illustrasi
Cyberthreat.id – Peneliti Unit 42 dari Palo Alto mengungkapkan bahwa aktor yang berada di balik kelompok ransomware sebagai layanan (RaaS) yang dikenal sebagai ransomware Cartel berkaitan dengan geng ransomware REvil yang berasal dari Rusia.
Dikutip dari Info Security Magazine, dalam tulisan teknis baru tentang ransomware Cartel, peneliti mengatakan bahwa grup ransomware REvil berhenti beroperasi kira-kira dua bulan sebelum ransomware Cartel resmi beroperasi. Selain itu, ransomware ini beroperasi hanya satu bulan setelah 14 orang yang diduga anggotanya ditangkap di Rusia.
“Ketika Ransom Cartel pertama kali muncul, tidak jelas apakah itu rebranding dari REvil atau aktor ancaman yang tidak terkait yang menggunakan kembali atau meniru kode ransomware REvil,” kata peneliti Unit 42.
Namun, seiring berjalannya waktu, koleksi tersebut menjadi lebih jelas, terutama melalui alat yang digunakan oleh kedua pelaku. Menurut peneliti, Ransom Cartel menggunakan pemerasan ganda dan beberapa TTP [taktik, teknik, dan prosedur] yang sama, yang sering diamati selama serangan ransomware. Jenis ransomware ini menggunakan alat yang kurang umum, misalnya DonPAPI yang belum pernah terlihat di tempat lain.
Berdasarkan penyelidikan mereka, peneliti keamanan juga mengamati bahwa operator Ransom Cartel memiliki akses ke kode sumber ransomware REvil asli tetapi kemungkinan tidak memiliki mesin kebingungan yang digunakan untuk mengenkripsi string dan menyembunyikan panggilan API.
“Kami berspekulasi bahwa operator Kartel Ransom memiliki hubungan dengan kelompok REvil pada satu titik sebelum memulai operasi mereka sendiri,” kata peneliti.
Peneliti menambahkan, karena sifat profil tinggi dari beberapa organisasi yang ditargetkan oleh Kartel Ransom dan aliran kasus Kartel Ransom yang diidentifikasi oleh Unit 42, operator dan/atau afiliasi di balik ransomware kemungkinan akan terus menyerang dan memeras organisasi.
Untuk melindungi sistem mereka dari serangan Kartel Ransom, Unit 42 meminta perusahaan untuk menyebarkan perangkat lunak anti-ransomware dan untuk meninjau indikator kompromi untuk ancaman tersebut.
