Microsoft mengungkapkan bahwa tim keamanannya melacak lebih dari 100 pelaku ancaman yang menyebarkan ransomware selama serangan.
“Beberapa payload ransomware paling menonjol dalam kampanye baru-baru ini termasuk Lockbit Black, BlackCat (alias ALPHV), Play, Vice Society, Black Basta, & Royal,” kata Microsoft sesuai yang dikutip dari Bleeping Computer.
Sementara keluarga ransomware baru diluncurkan setiap saat, sebagian besar pelaku ancaman menggunakan taktik yang sama saat menerobos dan menyebar melalui jaringan, membuat upaya untuk mendeteksi perilaku tersebut menjadi lebih membantu dalam menggagalkan serangan mereka.
Peneliti mengatakan, saat ini penyerang semakin mengandalkan taktik di luar phishing untuk melakukan serangan mereka, dengan pelaku ancaman, seperti DEV-0671 dan DEV-0882, memanfaatkan kerentanan Exchange Server yang baru ditambal untuk meretas server yang rentan dan menyebarkan ransomware Cuba dan Play.
“Minggu lalu, tim Exchange mendesak admin untuk menerapkan Pembaruan Kumulatif (CU) terbaru yang didukung untuk mengamankan server Exchange lokal dan menyiapkannya untuk menginstal pembaruan keamanan darurat,” kata peneliti.
Lebih dari 60.000 server Exchange yang terpapar Internet masih rentan terhadap serangan yang memanfaatkan eksploitasi RCE ProxyNotShell. Pada saat yang sama, ribuan orang masih menunggu untuk diamankan dari serangan yang menargetkan kelemahan ProxyShell dan ProxyLogon, dua kelemahan keamanan yang paling banyak dieksploitasi di tahun 2021.
Pelaku ransomware lain juga beralih ke atau menggunakan malvertising untuk mengirimkan pemuat dan pengunduh malware yang membantu mendorong ransomware dan berbagai jenis malware lainnya, seperti pencuri informasi.
Misalnya, aktor ancaman yang dilacak sebagai DEV-0569, yang diyakini sebagai perantara akses awal untuk geng ransomware, kini menyalahgunakan Google Ads dalam kampanye iklan yang tersebar luas untuk mendistribusikan malware, mencuri sandi dari perangkat yang terinfeksi, dan akhirnya mendapatkan akses ke jaringan perusahaan.
“Mereka menggunakan akses ini sebagai bagian dari serangan mereka atau menjualnya ke aktor jahat lainnya, termasuk geng ransomware Royal,” kata peneliti.
Tahun lalu ditandai dengan berakhirnya operasi kejahatan dunia maya Conti dan munculnya operasi ransomware-as-a-service (Raas) baru, termasuk Royal, Play, dan BlackBasta. Sementara itu, operator ransomware LockBit, Hive, Cuba, BlackCat, dan Ragnar terus melakukan pelanggaran dan mencoba memeras korban secara terus-menerus sepanjang tahun 2022.
Namun, geng ransomware mengalami penurunan pendapatan besar-besaran sekitar 40% tahun lalu karena mereka hanya mampu memeras sekitar $456,8 juta dari para korban sepanjang tahun 2022, setelah memecahkan rekor $765 juta dalam dua tahun sebelumnya, menurut perusahaan analitik blockchain, Chainalysis.
Penurunan yang signifikan ini tidak didorong oleh serangan yang lebih sedikit tetapi oleh penolakan korban mereka untuk membayar tuntutan uang tebusan penyerang. Tahun ini dimulai dengan kemenangan besar melawan grup ransomware setelah kebocoran data ransomware Hive dan situs web gelap pembayaran Tor disita sebagai bagian dari operasi penegakan hukum internasional yang melibatkan Departemen Kehakiman AS, FBI, Secret Service, dan Europol.
Setelah meretas server Hive, FBI mendistribusikan lebih dari 1.300 kunci dekripsi kepada para korban Hive dan mendapatkan akses ke catatan komunikasi Hive, hash file malware, dan rincian 250 afiliasi Hive.
Pada hari yang sama, Departemen Luar Negeri AS menawarkan hingga $10 juta untuk setiap informasi yang dapat membantu menghubungkan geng ransomware Hive (atau pelaku ancaman lainnya) dengan pemerintah asing.
Comments
Post a Comment