Ransomware Kiriman Geng Hacker Rusia Lolos Deteksi Keamanan Siber

Peretas atau hacker berhasil membobol data pribadi.
Sumber :
  • BankInfoSecurity

VIVA Tekno – Perusahaan keamanan siber Kaspersky telah meluncurkan penelitian terhadap aktivitas kelompok ransomware terkenal asal Rusia yang dikenal sebagai Cuba.

Kim Kang Solat dan Belek Aganak, Tentara Korut yang Mati Bawa Dokumen Palsu

Mereka baru-baru ini menyebarkan malware yang dapat menghindari keamanan siber dan menargetkan organisasi di seluruh dunia, sehingga meninggalkan jejak di sejumlah perusahaan yang telah disusupi di berbagai industri.

Pada Desember 2022, Kaspersky mendeteksi insiden mencurigakan pada sistem klien, mengungkap tiga file yang meragukan.

Putin Ngamuk Usai Drone Tempur Ukraina Hantam Daerah Muslim Rusia

File-file tersebut memicu serangkaian tindakan yang mengarah pada pemuatan komar65 library atau juga dikenal sebagai Bughath.

Ini adalah backdoor canggih yang diterapkan dalam memori proses. Ransomware akan mengeksekusi blok kode shell yang tertanam dalam ruang memori menggunakan Windows API, yang mencakup berbagai fungsi.

Rudal Nuklir Korut Diduga Masuk ke Rusia Lewat Darat

Selanjutnya itu akan terhubung ke server Command and Control (C2) untuk menunggu instruksi lebih lanjut. Perangkat dapat menerima perintah untuk mengunduh perangkat lunak seperti Cobalt Strike Beacon dan Metasploit. Penggunaan Veeamp dalam serangan tersebut menunjukkan keterlibatan Cuba.

Peretas atau hacker.

Photo :
  • ABC News

FileFileFile PDB merujuk pada folder 'komar' merupakan kata dalam bahasa Rusia untuk 'nyamuk', menunjukkan potensi kehadiran anggota berbahasa Rusia dalam grup tersebut.

Analisis lebih lanjut oleh Kaspersky mengungkap modul tambahan yang didistribusikan oleh grup Cuba, sehingga meningkatkan fungsionalitas malware.

Salah satu modul tersebut bertanggung jawab untuk mengumpulkan informasi sistem, yang kemudian dikirim ke server melalui permintaan HTTP POST.

Melanjutkan penyelidikannya, Kaspersky menemukan sampel malware baru yang dikaitkan dengan kelompok Cuba di VirusTotal, di mana beberapa dari sampel itu berhasil menghindari deteksi oleh vendor keamanan lainnya.

Sampel ini mewakili versi baru dari malware Burntcigar, yang menggunakan data terenkripsi untuk menghindari deteksi antivirus, tulis perusahaan, dalam keterangan resminya, Rabu, 13 September 2023.

“Ketika geng ransomware seperti Cuba berevolusi dan menyempurnakan taktik, sangatlah penting untuk secara efektif memitigasi potensi serangan," ujar Gleb Ivanov, pakar keamanan siber di Kaspersky.

Dengan lanskap ancaman siber yang terus berubah, wawasan dan pengetahuan adalah pertahanan utama melawan munculnya penjahat siber. Cuba adalah jenis ransomware file tunggal yang sulit dideteksi karena pengoperasiannya tanpa perpustakaan tambahan.

Ilustrasi hacker atau serangan siber.

Photo :
  • Dok. Kaspersky

Grup berbahasa Rusia ini dikenal karena jangkauannya yang luas dan menargetkan industri seperti ritel, keuangan, logistik, pemerintahan, dan manufaktur di Amerika Utara, Eropa, Oseania, dan Asia.

Mereka menggunakan gabungan alat milik publik dan milik sendiri, memperbarui perangkat secara teratur dan menggunakan taktik seperti BYOVD (Bring Your Own Vulnerable Driver).

Ciri khas dari operasi tersebut adalah mengubah stempel waktu kompilasi untuk menyesatkan penyelidik. Misalnya, beberapa sampel yang ditemukan pada tahun 2020 memiliki tanggal kompilasi 4 Juni 2020, sedangkan stempel waktu pada versi yang lebih baru ditampilkan berasal dari 19 Juni 1992.

Pendekatan tidak hanya melibatkan enkripsi data, tetapi juga menyesuaikan serangan untuk mengekstrak data informasi sensitif, seperti dokumen keuangan, catatan bank, rekening perusahaan, dan kode sumber.

Kaspersky mendorong organisasi untuk perbarui perangkat lunak di semua perangkat yang digunakan untuk mencegah penyerang mengeksploitasi kerentanan dan menyusup ke jaringan.

Kemudian untuk fokus pada strategi pertahanan untuk mendeteksi pergerakan lateral dan penyelundupan data ke internet. Berikan juga perhatian khusus pada lalu lintas keluar untuk mendeteksi koneksi penjahat siber ke jaringan.

Halaman Selanjutnya
Halaman Selanjutnya