Ini Taktik Sodinokibi Ransomware Menginfeksi Korban
Ilustrasi | Foto : Starupper.gr
Cyberthreat.id- Peneliti McAfee, sebuah perusahaan siber security menggunakan jaringan honeypots untuk memeriksa alat dan taktik yang digunakan oleh afiliasi Sodinokibi Ransomware (REvil) untuk menginfeksi korban, dengan ransomware dan mengkompromikan mesin lain di jaringan.
Para peneliti menjelaskan, sebagai bagian dari Sodinokibi ransomware-as-a-service, ransomware executable ditandai dengan ID afiliasi dan sub ID untuk melacak siapa yang terinfeksi korban dan afiliasi mana yang harus mendapatkan komisi untuk pembayaran.
Pada saat yang sama, ID afiliasi ini memungkinkan peneliti untuk melacak perilaku mereka juga dan melukiskan gambaran bagaimana mereka menginfeksi korban mereka dan menyebar secara lateral ke seluruh jaringan.
Dilansir dari BleepingComputer, Senin, (21 Oktober 2019), tim McAfee Advanced Threat Research menggunakan jaringan global Remote Desktop Protocol (RDP) honeypots untuk melacak aktivitas tiga kelompok afiliasi Sodinokibi.
“Afiliasi ini, yang dikenal sebagai Grup 1, afiliasi # 34, dan afiliasi # 19, semuanya awalnya mengkompromikan sistem melalui RDP dan kemudian menggunakan pijakan ini untuk mencoba dan membahayakan jaringan lainnya,” ungkap Peneliti.
Untuk mencoba menyebar ke seluruh jaringan, semua afiliasi menggunakan alat pemindaian port massal untuk menemukan server RDP yang dapat diakses dan kemudian menggunakan alat memaksa brute NLBrute RDP dengan daftar kata sandi khusus untuk mencoba dan mendapatkan akses ke server.
“Namun, afiliasi # 34 dan # 19 menunjukkan taktik yang lebih terampil seperti menggunakan file batch Mimikatz khusus untuk memanen kredensial jaringan kredensial, skrip khusus untuk menghapus log penampil acara Windows, dan pembuatan pengguna tersembunyi,” jelas Peneliti.
Menurut Peneliti, afiliasi # 19 tampaknya yang paling terampil, atau menyeluruh, ketika mereka berupaya memanfaatkan eksploitasi lokal untuk mendapatkan akses administratif pada komputer yang disusupi.
“Dengan mendapatkan akses ke akun administratif, afiliasi dapat lebih mudah mendorong dan menjalankan ransomware di komputer lain di domain Windows,” tambah peneliti.
Selain muatan Sodinokibi Ransomware, Afiliasi # 34 juga menjatuhkan muatan cryptomining seperti MinerGate dan XMRig.
Dari salah satu file konfigurasi MinerGate, peneliti McAfee dapat mempelajari alamat email yang digunakan oleh salah satu penyerang dan melacaknya ke kemungkinan anggota berbahasa Persia dari kru peretasan RDP.
"Berdasarkan analisis kami, individu ini kemungkinan merupakan bagian dari beberapa awak cracking kredensial berbahasa Persia yang memanen kredensial RDP dan tipe data lainnya. Individu tersebut berbagi informasi terkait dengan hasil pemindaian Masscan dan Kport untuk negara tertentu yang dapat digunakan untuk brute force operasi,” jelas Peneliti.
Tak hanya itu, program menarik yang digunakan oleh afiliasi # 34 adalah perangkat lunak pengindeksan file everything.
Ketika diinstal, Semuanya akan mengindeks semua nama file dan folder yang ditemukan di komputer sehingga pengguna dapat dengan cepat mencari file berdasarkan kata kunci yang dimasukkan. Dimungkinkan juga untuk mencari konten dalam file yang diindeks, meskipun pada kecepatan yang jauh lebih lambat.
Sementara itu, peneliti McAfee tidak dapat memantau apa yang dilakukan pencarian, mereka menyatakan bahwa indeks lengkap sistem file telah selesai.
"Sayangnya kami belum mendapatkan informasi bahwa aktor sedang mencari kata kunci spesifik yang kami lihat indeks lengkap dari sistem file," kata John Fokker, Kepala Investigasi Cyber, McAfee.
Sebagai contoh, jika file berisi kata-kata rahasia, kata sandi, rekening bank, diklasifikasikan, militer, 10-Q, 10-K, dan lainnya, artinya para penyerang kemudian dapat mengeksfiltrasi file-file ini dalam bentuk yang tidak terenkripsi untuk mencuri rahasia dagang, mencuri informasi keuangan, mendapatkan informasi orang dalam untuk perdagangan saham, atau mengancam untuk melepaskan dokumen kecuali tebusan dibayarkan.
Meskipun tidak umum, di masa lalu data yang dicuri bersifat sensitif telah digunakan untuk mengancam para korban untuk melakukan pembayaran atau data tersebut akan dirilis secara publik.
“Penggunaan Semuanya sebagai bagian dari penyebaran ransomware adalah taktik yang menarik dan menjadi perhatian semua pelanggan perusahaan karena meningkatnya risiko pencurian data,” ungkap peneliti.
