Serangan Rantai Pasokan Dilakukan oleh Operator Darkside

  • Whatsapp
Serangan Rantai Pasokan Dilakukan oleh Operator Darkside

 

Peneliti Mandiant telah mengidentifikasi serangan rantai pasokan terhadap penyedia CCTV oleh afiliasi geng ransomware Darkside yang telah dibedakan sebagai UNC2465. UNC2465 dan geng terkait lainnya yang diidentifikasi oleh FireEye/Mandiant sebagai UNC2628 dan UNC2659 dianggap sebagai salah satu afiliasi utama Grup DARKSIDE.
Penyusupan dimulai pada 18 Mei 2021, sehari setelah penangguhan publik dari program umum DARKSIDE (latar belakang Mandiant Advantage). Mandiant percaya bahwa meskipun tidak ada ransomware yang ditemukan, kelompok keanggotaan yang telah melakukan serangan DARKSIDE dapat menggunakan beberapa program afiliasi ransomware dan beralih satu sama lain kapan saja.
Mandiant menemukan bahwa penginstal berbahaya pada awal Juni dan memberi tahu perusahaan CCTV tentang kemungkinan kompromi di situs web ini, sehingga memungkinkan UNC2465 untuk mengganti file yang sah dan tertrojan.
Meskipun Mandiant tidak mengantisipasi bahwa banyak individu telah terpengaruh, strategi ini dilaporkan dapat meningkatkan kesadaran.
Serangan rantai pasokan perangkat lunak bisa sangat kompleks, mulai dari serangan baru-baru ini yang ditemukan oleh FireEye hingga serangan yang menargetkan pemasok yang lebih kecil. Infiltrasi tunggal dari serangan rantai pasokan perangkat lunak memberikan akses ke semua bisnis yang menjalankan perangkat lunak dari perusahaan korban – dalam situasi ini, UNC2465 telah memodifikasi penginstal alih-alih perangkat lunak itu sendiri.
Mandiant mencatat pada pertengahan Mei 2021, bahwa banyak pemain ancaman mengutip pemberitahuan bahwa operator layanan tampaknya berbagi dengan anggota DARKSIDE RaaS. Pemberitahuan itu menunjukkan bahwa ia telah kehilangan akses dan akan menutup layanannya ke infrastrukturnya, termasuk blog, pembayaran, dan server CDN-nya.
Sejak itu, anggota bawah tanah lainnya telah mengklaim bahwa mereka adalah afiliasi DARKSIDE yang tidak dibayar, dan dalam kasus tertentu secara pribadi memberikan admin forum dengan bukti yang menunjukkan bahwa klaim mereka sah.
Konsultasi Mandiant menanggapi gangguan pada Juni 2021; Vektor pertama, yang ditemukan Mandiant adalah penginstal PVR kamera keamanan trojan dari situs web terkemuka. Sebagai hasil dari penggunaan infrastruktur dan penggunaan peralatan yang berkelanjutan sejak Oktober 2020, Mandiant telah menghubungkan intrusi umum dengan afiliasi DARKSIDE UNC2465.
Pada 18 Mei 2021, seseorang mengakses tautan Trojan di organisasi terkait dan memasang ZIP. Rantai Unduhan dan Script dijalankan ketika perangkat lunak diinstal yang mengarah ke SMOKEDHAM dan kemudian NGROK di komputer korban.
Penggunaan malware lebih lanjut seperti BEACON juga dilaporkan telah terjadi. Program trojan diaktifkan menurut pendapat Mandiant antara 18 Mei 2021, dan 08 Juni 2021.
Mandiant menunjukkan bahwa sebagian besar korban yang diidentifikasi secara publik dari situs web yang mempermalukan ransomware telah berkembang pesat selama sebulan terakhir. Terlepas dari pembatasan baru-baru ini pada posting tentang ransomware di forum bawah tanah, pelaku ancaman masih dapat mengeksploitasi obrolan dan tautan pribadi untuk menemukan layanan ransomware.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *