Geng Ransomware Mencari Bantuan Dari Ancaman Orang Dalam untuk Menyebarkan Ransomware

  • Whatsapp
Geng Ransomware Mencari Bantuan Dari Ancaman Orang Dalam untuk Menyebarkan Ransomware
Geng Ransomware Mencari Bantuan Dari Ancaman Orang Dalam untuk Menyebarkan
Geng Ransomware Mencari Bantuan Dari Ancaman Orang Dalam untuk Menyebarkan Ransomware di Sistem

Analis keamanan di Abnormal Security mengklasifikasikan dan memblokir sejumlah email tidak pasti baru-baru ini yang dikirim ke pelanggan perusahaan keamanan Abnormal Security.

Mereka mendeteksi bahwa semua email yang diblokir meminta pelanggan Abnormal Security untuk menjadi koordinator skema ancaman orang dalam atau ransomware.

Di sini, tujuan utama dari pelaku ancaman adalah untuk memikat pelanggan dengan insentif skema ancaman yang menguntungkan dan kemudian menyebarkan ransomware mereka untuk menginfeksi jaringan perusahaan mereka.

Terlepas dari semua hal ini, para analis telah mengindikasikan bahwa semua email yang diblokir berasal dari seseorang yang memiliki tautan dengan grup ransomware DemonWare.

Mengirim Permintaan Ransomware

Ini adalah salah satu kampanye terbaru yang dilakukan oleh para pelaku ancaman. Namun, dalam kampanye ini, pengirim menentukan karyawan bahwa jika mereka dapat membuang ransomware di komputer perusahaan atau server Windows.

Jika mereka dapat meyakinkan rekanan yang ditargetkan maka mereka akan diberi kompensasi dengan bitcoin $1 juta atau 40% dari tebusan $2,5 juta yang diasumsikan.

Selain itu, karyawan telah diberitahu bahwa jika mereka ingin melakukannya, maka mereka dapat meluncurkan ransomware secara fisik atau jarak jauh.

Setelah menyelidiki serangan tersebut, para ahli mengklaim bahwa ransomware ini telah didistribusikan melalui lampiran email, serta menggunakan akses jaringan langsung yang umumnya dicapai melalui akun VPN yang tidak aman atau kerentanan perangkat lunak.

Menemukan Orang Dalam

Sepanjang percakapan panjang dengan penyerang, pakar Keamanan Abnormal bertanya kepada aktor ancaman bahwa apa yang perlu kami lakukan untuk membantu?

Setelah email, pelaku ancaman merespons hanya dalam waktu setengah jam dan mengulangi apa yang terlibat dalam email awal, dan diikuti dengan pertanyaan mengenai apakah kami dapat mengakses server Windows perusahaan palsu atau tidak.

Setelah berinvestasi di ransomware, pelaku ancaman telah mengirimkan dua tautan kepada para ahli untuk file yang dapat dieksekusi yang dapat diunduh di WeTransfer atau Mega(.)nz, keduanya adalah situs berbagi file.

Di sini, file tersebut bernama “Walletconnect (1).exe” dan berdasarkan pemeriksaan file, mereka dapat mengotentikasi ransomware.

Menemukan Target Melalui Jejaring Sosial

Menurut penyelidikan laporan, dalam kampanye ini, pelaku ancaman mendapatkan informasi kontak target mereka dari situs jejaring sosial profesional, LinkedIn.

Dan tidak hanya LinkedIn, seiring dengan itu, mereka juga menemukan target mereka dari layanan komersial serupa yang menawarkan jenis informasi yang sama, karena semua platform ini adalah target paling umum bagi para pelaku ancaman untuk mendapatkan informasi seperti ini.

Sementara selain itu, pada penyelidikan lebih lanjut peneliti mendeteksi bahwa pelaku ancaman adalah orang Nigeria karena mereka menemukan jejak mata uang Nigeria.

Tidak hanya itu, bahkan selama percakapan mereka, aktor tersebut mengkonfirmasi bahwa dia berasal dari Nigeria dan meniru namanya sebagai “Mark Zuckerberg berikutnya.”

Jadi, peristiwa ini dengan jelas menggambarkan bahwa jenis serangan ini atau intrusi malware lainnya jarang terjadi.

Anda dapat mengikuti kami di Linkedin, Indonesia, Facebook untuk pembaruan Cybersecurity harian

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.