Grup Pemerasan D0nut Juga Menargetkan Korban Dengan Ransomware
illustrasi
Cyberthreat.id – Grup pemerasan D0nut menyebarkan ransomware dalam serangan siber, untuk melakukan pemerasan ganda pada perusahaan.
Minggu ini, Bleeping Computer menemukan sampel di VirusTotal dari sebuah encryptor untuk operasi Donut, alias D0nut, yang menunjukkan bahwa grup tersebut menggunakan ransomware yang disesuaikan sendiri untuk serangan pemerasan ganda.
Saat ini ransomware masih dianalisis, tetapi ketika dieksekusi, itu akan memindai file yang cocok dengan ekstensi tertentu untuk dienkripsi. Saat mengenkripsi file, ransomware akan menghindari file dan folder yang berisi string Edge, ntldr, ppera,chrome, Allusers, Chromium, Windows, dll.
Menutut Bleeping Computer, operasi D0nut Leaks memiliki bakat untuk sandiwara, menggunakan grafik yang menarik, sedikit humor, dan bahkan menawarkan pembangun untuk dapat dieksekusi yang bertindak sebagai pintu gerbang ke situs kebocoran data Tor mereka.
“Saat file dienkripsi, ransomware D0nut akan menambahkan ekstensi .d0nut ke file terenkripsi. Jadi, misalnya 1.jpg akan dienkripsi dan diganti namanya menjadi 1.jpg.d0nut,” kata Bleeping Computer.
Catatan ransomware lain yang dilihat oleh BleepingComputer berpura-pura menjadi prompt perintah yang menampilkan kesalahan PowerShell, yang kemudian mencetak catatan tebusan bergulir. Catatan tebusan sangat dikaburkan untuk menghindari deteksi, dengan semua string dikodekan dan JavaScript mendekode catatan tebusan di browser.
“Catatan tebusan ini mencakup berbagai cara untuk menghubungi pelaku ancaman, termasuk melalui TOX dan situs negosiasi Tor,” tambah Bleeping Computer.
Tak hanya itu, operasi D0nut ransomware juga menyertakan "pembangun" di situs kebocoran data mereka yang terdiri dari skrip bash untuk membuat aplikasi Windows dan Linux Electron dengan klien Tor yang dibundel untuk mengakses situs kebocoran data mereka. Aplikasi ini saat ini "rusak" karena menggunakan URL HTTPS, yang saat ini tidak beroperasi.
Secara keseluruhan, kelompok pemerasan ini adalah salah satu yang harus diperhatikan, tidak hanya karena keterampilan mereka yang tampak tetapi juga kemampuan mereka untuk memasarkan diri mereka sendiri.
Sebelumnya, peneliti keamanan dari Unit 42 Doel Santos mengungkapkan bahwa kelompok ini dihubungkan dengan sejumlah serangan siber ke perusahaan gas alam Yunani DESFA, firma arsitektur Inggris Sheppard Robson, dan perusahaan konstruksi multinasional Sando. Namun, data untuk Sando dan DESFA juga diposting ke beberapa situs operasi ransomware, dengan serangan Sando diklaim oleh ransomware Hive dan DESFA diklaim oleh Ragnar Locker.
“ID TOX yang digunakan dalam catatan tebusan terlihat pada sampel ransomware HelloXD,” kata peneliti.
Posting silang data dan afiliasi yang dicuri ini memperkuaat dugaan bahwa aktor ancaman di balik Donut Leaks adalah afiliasi dari berbagai operasi, yang sekarang mencoba memonetisasi data dalam operasi mereka sendiri.
