Peneliti Menghubungkan Ransomware Berbasis Linux Cheerscrypt ke Peretas Tiongkok

  • Whatsapp
Cheerscrypt Linux-Based Ransomware
Peneliti Menghubungkan Ransomware Berbasis Linux Cheerscrypt ke Peretas Tiongkok

News.nextcloud.asia –

Cheerscrypt Ransomware Berbasis Linux

Strain ransomware Berbasis Linux yang baru-baru ini ditemukan yang dikenal sebagai Cheerscrypt telah dikaitkan dengan kelompok spionase cyber China yang dikenal karena mengoperasikan skema ransomware berumur pendek.

Perusahaan cybersecurity Sygnia mengaitkan serangan tersebut dengan aktor ancaman yang dilacaknya dengan nama Emperor Dragonfly, yang juga dikenal sebagai Bronze Starlight (Secureworks) dan DEV-0401 (Microsoft).

“Kaisar Dragonfly menyebarkan alat sumber terbuka yang ditulis oleh pengembang Tiongkok untuk pengguna Tiongkok,” kata perusahaan itu dalam sebuah laporan dibagikan dengan The Hacker News. “Ini memperkuat klaim bahwa operator ransomware ‘Emperor Dragonfly’ berbasis di China.”

Keamanan cyber

Penggunaan Cheerscrypt adalah tambahan terbaru untuk daftar panjang keluarga ransomware yang sebelumnya digunakan oleh grup dalam waktu kurang dari setahun, termasuk LockFile, Atom Silo, Rook, Night Sky, Pandora, dan LockBit 2.0.

Secureworks, dalam profil grupnya, dicatat “Masuk akal bahwa Bronze Starlight menyebarkan ransomware sebagai tabir asap daripada untuk keuntungan finansial, dengan motivasi yang mendasari pencurian kekayaan intelektual atau melakukan spionase.”

Cheerscrypt tadinya pertama kali didokumentasikan oleh Trend Micro pada Mei 2022, menyerukan kemampuannya untuk menargetkan server VMware ESXi sebagai bagian dari taktik yang telah dicoba dan diuji yang disebut pemerasan ganda untuk memaksa korbannya membayar uang tebusan atau risiko menghadapi paparan data.

Ia juga mengklaim pro-Ukraina, menampilkan “Kemuliaan bagi Ukraina!” di situs kebocoran data web gelap mereka.

Menariknya, ransomware berbagi tumpang tindih dengan versi Linux dari ransomware Babuk, yang kode sumbernya bocor pada September 2021 dan juga menjadi basis keluarga Emperor Dragonfly’s Rook, Night Sky, dan Pandora.

Modus operandi pelaku ancaman lebih menonjol karena penanganannya terhadap semua tahap siklus serangan ransomware, mulai dari akses awal hingga penyebaran ransomware, tanpa bergantung pada afiliasi dan broker akses. Microsoft menyebutnya sebagai “serigala tunggal”.

Keamanan cyber

Rantai infeksi yang diamati hingga saat ini telah memanfaatkan kerentanan Log4Shell kritis di pustaka Apache Log4j untuk menyusup ke server VMware Horizon untuk menjatuhkan muatan PowerShell yang mampu mengirimkan suar Cobalt Strike terenkripsi.

Sygnia mengatakan bahwa mereka juga menemukan tiga alat berbasis Go tambahan yang digunakan bersama-sama dengan suar: a pencatat kunci yang mengekspor penekanan tombol yang direkam ke Alibaba Cloud, utilitas proxy internet yang disebut candaandan perangkat lunak tunneling yang dikenal sebagai NPS.

Tautan Cheerscrypt ke kesamaan Emperor Dragonfly dalam vektor akses awal, teknik gerakan lateral, dan penyebaran suar Cobalt Strike terenkripsi melalui Pemuatan samping DLL.

“Emperor Dragonfly adalah operator ransomware yang berbasis di China, menjadikannya langka di lanskap ancaman saat ini,” kata para peneliti, menambahkan “satu aktor ancaman melakukan seluruh operasi.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *