Malware Carbanak Banking Muncul Lagi dengan Taktik Ransomware Baru

The Hacker News

Cyberthreat.id - Malware perbankan yang dikenal sebagai Carbanak telah diamati digunakan dalam serangan ransomware dengan taktik yang diperbarui.

“Malware ini telah beradaptasi untuk menggabungkan vendor serangan dan teknik untuk mendiversifikasi efektivitasnya,” kata perusahaan keamanan siber NCC Group dalam analisis serangan ransomware yang terjadi pada November 2023.

“Carbanak kembali bulan lalu melalui rantai distribusi baru dan telah didistribusikan melalui situs web yang disusupi untuk meniru berbagai perangkat lunak terkait bisnis.”

The Hacker News menuliskan Beberapa alat yang ditiru termasuk perangkat lunak populer terkait bisnis seperti HubSpot, Veeam, dan Xero.

Carbanak, yang terdeteksi di alam liar setidaknya sejak tahun 2014, dikenal dengan fitur eksfiltrasi data dan kendali jarak jauhnya. Dimulai sebagai malware perbankan, malware ini kemudian dimanfaatkan oleh sindikat kejahatan dunia maya FIN7.

Dalam rantai serangan terbaru yang didokumentasikan oleh NCC Group, situs web yang disusupi dirancang untuk menampung file penginstal berbahaya yang menyamar sebagai utilitas sah untuk memicu penerapan Carbanak.

Perkembangan ini terjadi ketika 442 serangan ransomware dilaporkan pada bulan lalu, naik dari 341 insiden pada bulan Oktober 2023. Sebanyak 4,276 kasus telah dilaporkan sepanjang tahun ini, yang berarti “kurang dari 1000 insiden dibandingkan total gabungan tahun 2021 dan 2022 ( 5.198)."

Data perusahaan menunjukkan bahwa sektor industri (33%), siklus konsumen (18%), dan layanan kesehatan (11%) muncul sebagai sektor yang menjadi target utama, dengan Amerika Utara (50%), Eropa (30%), dan Asia (10%). ) bertanggung jawab atas sebagian besar serangan.

Adapun keluarga ransomware yang paling sering ditemukan, LockBit, BlackCat, dan Play berkontribusi terhadap 47% (atau 206 serangan) dari 442 serangan. Dengan dibongkarnya BlackCat oleh pihak berwenang pada bulan ini, masih harus dilihat apa dampak langkah tersebut terhadap lanskap ancaman dalam waktu dekat.

“Dengan sisa satu bulan di tahun ini, jumlah total serangan telah melampaui 4.000 yang menandai peningkatan besar dari tahun 2021 dan 2022, jadi akan menarik untuk melihat apakah tingkat ransomware terus meningkat tahun depan,” Matt Hull, global kata kepala intelijen ancaman di NCC Group.

Lonjakan serangan ransomware pada bulan November juga didukung oleh perusahaan asuransi siber Corvus, yang mengatakan pihaknya mengidentifikasi 484 korban ransomware baru yang diposting ke situs kebocoran.

“Ekosistem ransomware pada umumnya telah berhasil beralih dari QBot,” kata perusahaan itu. “Menjadikan eksploitasi perangkat lunak dan keluarga malware alternatif sebagai bagian dari repertoar mereka membuahkan hasil bagi kelompok ransomware.”

Meskipun perubahan ini merupakan hasil dari penghapusan infrastruktur QBot (alias QakBot) oleh penegak hukum, Microsoft, minggu lalu, mengungkapkan rincian kampanye phishing skala kecil yang mendistribusikan malware tersebut, menggarisbawahi tantangan dalam membongkar sepenuhnya kelompok-kelompok ini.

Perkembangan ini terjadi ketika Kaspersky mengungkapkan langkah-langkah keamanan Akira ransomware mencegah situs komunikasinya dianalisis dengan memunculkan pengecualian ketika mencoba mengakses situs tersebut menggunakan debugger di browser web.

Perusahaan keamanan siber Rusia lebih lanjut menyoroti eksploitasi operator ransomware terhadap berbagai kelemahan keamanan pada driver Windows Common Log File System (CLFS) – CVE-2022-24521, CVE-2022-37969, CVE-2023-23376, CVE-2023-28252 ( Skor CVSS: 7.8) – untuk peningkatan hak istimewa.[]