Nefilm Ransomware Group Mengincar Perusahaan Pendapatan $1 miliar+

  • Whatsapp
Nefilm Ransomware Group Mengincar Perusahaan Pendapatan $1 miliar+

 

Pada hari Selasa, Trend Micro merilis studi kasus yang menganalisis Nefilim, geng ransomware yang diyakini para peneliti atau pernah dikaitkan dengan Nemty sebagai pakaian ransomware-as-a-service (RaaS).
Nemty pertama kali muncul pada tahun 2019 bersama dengan Sentinel Labs, Trend Micro mengklaim bahwa Nefilim pertama kali muncul pada Maret 2020. Kedua aktor, yang diberi nama “Water Roc” oleh perusahaan, menawarkan layanan berlangganan RaaS dengan pembagian 70/30, dengan margin turun menjadi 90/ 10 ketika para korban terkenal diculik oleh afiliasi.
Menurut Trend Micro, Nefilim mencari kerentanan dalam layanan Remote Desktop Services (RDP) yang terbuka dan kode eksploitasi bukti konsep (PoC) publik. Dua kerentanan yang diketahui, CVE-2019-19781 dan CVE-2019-11634 di perangkat gateway Citrix ditambal pada tahun 2020. Namun, ketika layanan yang tidak ditambal ditemukan, kode eksploitasi dijalankan dan akses pertama diperoleh. Nefilim memulai dengan mengunduh suar Cobalt Strike, Process Hacker (untuk menghentikan agen keamanan titik akhir), dumper kredensial Mimikatz, dan alat lainnya.
Nefilim juga dapat mengeksploitasi CVE-2017-0213, kelemahan lama pada perangkat lunak Windows Component Object Model (COM), dalam satu kasus yang dilaporkan oleh para peneliti. Meskipun tambalan dirilis pada tahun 2017, masalahnya tetap ada, memungkinkan grup untuk meningkatkan kekuatan mereka ke tingkat administrator.
Untuk pergerakan lateral dan akses ke jaringan perusahaan, operator ransomware dapat menggunakan kredensial yang dicuri atau dipaksakan dengan mudah dan MEGAsync dapat digunakan untuk mencuri data selama serangan. Ransomware Nefilim kemudian akan diinstal dan mulai mengenkripsi data. Meskipun ekstensinya berbeda, grup tersebut terkait dengan ekstensi .Nephilim, Merin, dan .Off-White.
Untuk setiap file yang diantrekan untuk enkripsi, kunci AES acak dihasilkan. Malware kemudian akan menggunakan kunci RC4 tetap untuk mendekripsi catatan tebusan, yang menyediakan alamat email bagi korban untuk menghubungi mereka terkait pembayaran.
Para peneliti menyatakan, “Untuk mengaktifkan dekripsi file jika korban membayar jumlah tebusan, malware mengenkripsi kunci AES yang dihasilkan dengan kunci publik RSA tetap dan menambahkannya ke file terenkripsi. Sampai saat ini, hanya penyerang yang dapat mendekripsi skema ini sebagai mereka sendiri yang memiliki kunci RSA pribadi yang dipasangkan.”
Dalam hal korban, Nefilim telah dikaitkan dengan penyerangan terhadap perusahaan dengan pendapatan tahunan sebesar $1 miliar atau lebih; namun, operator malware juga mempengaruhi perusahaan kecil. Mayoritas korban berada di AS, diikuti Eropa, Asia, dan Oseania.
Trend Micro melaporkan, “Penyerang modern telah beralih dari ransomware tanpa pandang bulu yang tersebar luas ke model baru yang jauh lebih berbahaya.”
“Saat ini, perusahaan menjadi sasaran serangan ransomware tingkat APT baru ini. Faktanya, mereka bisa lebih buruk daripada APT karena ransomware sering berakhir dengan menghancurkan data, sedangkan APT pencuri informasi hampir tidak pernah merusak. Ada kebutuhan yang lebih mendesak untuk mempertahankannya. organisasi terhadap serangan ransomware, dan sekarang, taruhannya jauh lebih tinggi.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *