Menumbuhkan Pasar Cyber-Underground untuk Pialang Akses Awal

  • Whatsapp
Menumbuhkan Pasar Cyber-Underground untuk Pialang Akses Awal

 

Kelompok Ransomware semakin membeli akses ke jaringan perusahaan dari “vendor” yang sebelumnya telah menempatkan backdoor pada target.
Email adalah titik masuk yang terkenal bagi penipu yang mencoba menembus jaringan perusahaan. Menurut para peneliti alih-alih melakukan tugas berat sendiri, kelompok ransomware bekerja sama dengan kelompok kriminal lain yang telah membuka jalur akses menggunakan perangkat lunak tahap pertama.
Sesuai laporan yang dirilis Rabu oleh Proofpoint, para peneliti menemukan “ekosistem kriminal yang menguntungkan” yang bekerja sama untuk meluncurkan serangan ransomware yang efektif, seperti yang akhir-akhir ini menjadi berita utama (Colonial Pipeline) dan menyebabkan kerusakan besar di seluruh dunia.
Menurut analisis, geng ransomware yang dikenal seperti Ryuk, Egregor, dan REvil pertama-tama terhubung dengan aktor ancaman yang berspesialisasi dalam infeksi awal menggunakan berbagai bentuk malware, seperti TrickBot, BazaLoader, dan IcedID, sebelum melepaskan muatan ransomware pamungkas di jaringan.
“Kelompok ancaman kejahatan dunia maya yang telah mendistribusikan malware perbankan atau trojan lain juga dapat menjadi bagian dari jaringan afiliasi ransomware.” laporan negara bagian.
Proofpoint telah mengidentifikasi setidaknya sepuluh pelaku ancaman yang menggunakan kampanye email berbahaya untuk menyebarkan loader tahap pertama, yang kemudian dieksploitasi oleh kelompok ransomware untuk mengirimkan muatan akhir. Para peneliti menemukan bahwa hubungan antara pelaku ancaman tersebut dan kelompok ransomware tidak satu-ke-satu, karena beberapa pelaku ancaman menggunakan muatan ransomware yang sama.
“Ransomware jarang didistribusikan langsung melalui email. Hanya satu jenis ransomware yang menyumbang 95 persen ransomware sebagai muatan email tahap pertama antara tahun 2020 dan 2021,” menurut laporan tersebut.
Proofpoint juga telah melihat ransomware menyebar melalui malware SocGholish, yang menginfeksi pengguna dengan pembaruan palsu dan pengalihan situs web, serta sistem distribusi lalu lintas Keitaro (TDS) dan kit eksploitasi lanjutan yang digunakan operator untuk menghindari deteksi, menurut para peneliti.
Tentang Penyerang dan Malware Pilihan:
Proofpoint mengidentifikasi 10 aktor ancaman yang telah diamati oleh para peneliti sebagai pengaktif akses awal ke malware mereka dan teknik pilihan untuk mendapatkan akses jaringan, yang kemudian mereka jual ke berbagai kelompok ransomware untuk tujuan yang lebih jahat, menurut penelitian tersebut.
Para peneliti menemukan bahwa TA800, aktor kejahatan dunia maya terkemuka yang telah dilacak oleh Proofpoint sejak pertengahan 2019, menyediakan malware perbankan atau pemuat malware ke geng ransomware Ryuk, termasuk TrickBot, BazaLoader, Buer Loader, dan Ostap.
Sejak pertengahan 2020, Proofpoint telah melacak TA577, aktor ancaman kejahatan dunia maya yang “melakukan penargetan luas di berbagai bisnis dan wilayah” untuk mendistribusikan muatan seperti Qbot, IcedID, SystemBC, SmokeLoader, Ursnif, dan Cobalt Strike melalui email dengan Microsoft Office yang berbahaya. file.
Menurut penelitian, organisasi ransomware Sodinokibi atau REvil terkait dengan TA577, yang aktivitasnya meningkat 225 persen dalam enam bulan terakhir.
Banyak kelompok kejahatan dunia maya lainnya yang terlacak seperti TA569, TA551, TA570, TA547, TA544, TA571, dan TA575, yang merupakan afiliasi Dridex yang telah dilacak oleh Proofpoint sejak akhir 2020 dan mendistribusikan malware melalui URL berbahaya, lampiran Office, dan dilindungi kata sandi file, dengan setiap kampanye mengirimkan rata-rata 4.000 email ke ratusan bisnis.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *