Grup 8Base Sebarkan Varian Phobos Ransomware Terbaru melalui SmokeLoader
Cyberthreat.id - Pelaku ancaman di balik ransomware 8Base memanfaatkan varian ransomware Phobos untuk melakukan serangan yang bermotif finansial.
Temuan tersebut, menurut The Hacker News, berasal dari Cisco Talos yang mencatat peningkatan aktivitas yang dilakukan oleh penjahat dunia maya.
“Sebagian besar varian Phobos dari grup tersebut didistribusikan oleh SmokeLoader, sebuah trojan pintu belakang,” kata peneliti keamanan Guilherme Venere dalam analisis dua bagian lengkap yang diterbitkan Jumat.
“Pemuat komoditas ini biasanya menjatuhkan atau mengunduh muatan tambahan saat diterapkan. Namun, dalam kampanye 8Base, ia memiliki komponen ransomware yang tertanam dalam muatan terenkripsinya, yang kemudian didekripsi dan dimuat ke dalam memori proses SmokeLoader.”
8Base menjadi fokus perhatian pada pertengahan tahun 2023, ketika lonjakan aktivitas serupa diamati oleh komunitas keamanan siber. Dikatakan aktif setidaknya sejak Maret 2022.
Analisis sebelumnya dari VMware Carbon Black pada Juni 2023 mengidentifikasi kesamaan antara 8Base dan RansomHouse, selain menemukan sampel ransomware Phobos yang ditemukan menggunakan ekstensi file ".8base" untuk file terenkripsi.
Hal ini meningkatkan kemungkinan bahwa 8Base adalah penerus Phobos atau pelaku ancaman di balik operasi tersebut hanya menggunakan jenis ransomware yang sudah ada untuk melakukan serangan, mirip dengan kelompok ransomware Vice Society.
Temuan terbaru dari Cisco Talos menunjukkan bahwa SmokeLoader digunakan sebagai landasan peluncuran untuk mengeksekusi muatan Phobos, yang kemudian melakukan langkah-langkah untuk membangun persistensi, menghentikan proses yang mungkin membuat file target tetap terbuka, menonaktifkan pemulihan sistem, dan menghapus cadangan serta bayangan. salinan.
Karakteristik penting lainnya adalah enkripsi penuh file di bawah 1,5 MB dan enkripsi parsial file di atas ambang batas untuk mempercepat proses enkripsi.
Selain itu, artefak tersebut menggabungkan konfigurasi dengan lebih dari 70 opsi yang dienkripsi menggunakan kunci hard-coded.
Konfigurasi ini membuka fitur tambahan seperti bypass Kontrol Akun Pengguna (UAC) dan pelaporan infeksi korban ke URL eksternal.
Ada juga kunci RSA berkode keras yang digunakan untuk melindungi kunci AES per file yang digunakan dalam enkripsi, yang menurut Talos dapat membantu mengaktifkan dekripsi file yang dikunci oleh ransomware.
“Setelah setiap file dienkripsi, kunci yang digunakan dalam enkripsi bersama dengan metadata tambahan kemudian dienkripsi menggunakan RSA-1024 dengan kunci publik yang dikodekan secara keras, dan disimpan di akhir file,” jelas Venere.
“Namun hal ini menyiratkan bahwa setelah kunci RSA pribadi diketahui, file apa pun yang dienkripsi oleh varian Phobos apa pun sejak 2019 dapat didekripsi dengan andal.”
Phobos, yang pertama kali muncul pada tahun 2019, merupakan evolusi dari ransomware Dharma (alias Crysis), dengan ransomware tersebut sebagian besar bermanifestasi sebagai varian Eking, Eight, Elbie, Devos, dan Faust, berdasarkan volume artefak yang digali di VirusTotal.
“Semua sampel berisi kode sumber yang sama dan dikonfigurasi untuk menghindari enkripsi file yang sudah dikunci oleh afiliasi Phobos lain, tetapi konfigurasinya sedikit berubah tergantung pada varian yang diterapkan,” kata Venere.
"Ini didasarkan pada daftar blokir ekstensi file dalam pengaturan konfigurasi ransomware."
Cisco Talos menilai Phobos dikelola secara ketat oleh otoritas pusat, sementara dijual sebagai ransomware-as-a-service (RaaS) ke afiliasi lain berdasarkan kunci publik RSA yang sama, variasi dalam email kontak, dan pembaruan rutin ke daftar blokir ekstensi ransomware.
“Daftar blokir tambahan tampaknya menceritakan kisah tentang kelompok mana yang menggunakan sampel dasar yang sama dari waktu ke waktu,” kata Venere.
"Daftar blokir ekstensi yang ditemukan di banyak sampel Phobos [...] terus diperbarui dengan file baru yang telah dikunci dalam kampanye Phobos sebelumnya. Ini mungkin mendukung gagasan bahwa ada otoritas pusat di belakang pembuatnya yang melacak siapa menggunakan Phobos di masa lalu. Tujuannya mungkin untuk mencegah afiliasi Phobos mengganggu operasi satu sama lain."
Perkembangan ini terjadi ketika FalconFeeds mengungkapkan bahwa pelaku ancaman mengiklankan produk ransomware canggih bernama UBUD yang dikembangkan dalam C dan memiliki fitur “tindakan anti-deteksi yang kuat terhadap mesin virtual dan alat debugging.”
Hal ini juga menyusul pengaduan resmi yang diajukan oleh kelompok ransomware BlackCat ke Komisi Sekuritas dan Bursa AS (SEC), yang menuduh bahwa salah satu korbannya, MeridianLink, gagal mematuhi peraturan pengungkapan baru yang mengharuskan perusahaan yang terkena dampak untuk melaporkan insiden tersebut dalam empat bisnis, DataBreaches.net melaporkan.
Perusahaan perangkat lunak keuangan tersebut telah mengonfirmasi bahwa mereka menjadi sasaran serangan dunia maya pada 10 November, namun mencatat bahwa pihaknya tidak menemukan bukti adanya akses tidak sah ke sistemnya.
Meskipun aturan pengungkapan SEC baru berlaku bulan depan pada tanggal 18 Desember, taktik tekanan yang tidak biasa ini merupakan tanda bahwa pelaku ancaman mengawasi dengan cermat dan bersedia membengkokkan peraturan pemerintah demi keuntungan mereka dan memaksa korban untuk membayar.
Meskipun demikian, perlu dicatat bahwa penegakan hukum ini secara eksklusif berlaku dalam situasi di mana perusahaan telah mengidentifikasi bahwa serangan tersebut mempunyai dampak "material" terhadap keuntungan mereka.
Sementara itu, geng ransomware produktif lainnya, LockBit, telah menerapkan aturan negosiasi baru mulai Oktober 2023, dengan alasan penyelesaian yang kurang dari perkiraan dan diskon lebih besar yang ditawarkan kepada korban karena “tingkat pengalaman afiliasi yang berbeda.”
“Tetapkan permintaan tebusan minimum tergantung pada pendapatan tahunan perusahaan, misalnya sebesar 3%, dan larang diskon lebih dari 50%,” kata operator LockBit, menurut laporan rinci dari Analyst1 sebagaimana dikutip The Hacker News.
"Jadi, jika pendapatan perusahaan adalah $100 juta USD, permintaan tebusan awal harus dimulai dari $3 juta USD dengan pembayaran akhir harus tidak kurang dari $1,5 juta USD."[]