Waspada, Ransomware BlackCat Menargetkan Perusahaan dengan Metode Efektif

Jakarta – Peneliti Kaspersky mengungkap detail dua insiden siber yang dilakukan oleh kelompok ransomware BlackCat dalam laporan terbaru bertajuk “A Pech BlackCat”. Kompleksitas malware yang digunakan, dikombinasikan dengan pengalaman luas para pemain di belakangnya, menjadikan grup ini salah satu pemain terpenting di pasar ransomware saat ini.

Alat dan teknik yang digunakan dalam melakukan upaya serangan mengkonfirmasi hubungan BlackCat dengan kelompok ransomware terkenal lainnya seperti BlackMatter dan REvil.

“Setelah grup REvil dan BlackMatter gulung tikar, tidak lama kemudian grup ransomware lain mengambil alih ceruk pasar mereka. Pengetahuan tentang pengembangan malware, contoh baru yang ditulis dari awal dalam bahasa pemrograman yang tidak biasa, dan pengalaman dalam pemeliharaan infrastruktur telah menjadikan grup BlackCat sebagai pemain utama di pasar ransomware,” kata Dmitry Galov, peneliti Keamanan di Tim Riset dan Analisis Global ( GREAT ). ) Kaspersky, dalam keterangannya, Jumat, 8 April 2022.

“Dengan menganalisis insiden serius ini, kami menyoroti fitur, alat, dan teknik utama yang digunakan oleh BlackCat saat menyerang jaringan yang ditargetkan. Pengetahuan ini membantu kami melindungi pengguna kami dari ancaman yang dikenal dan tidak dikenal. Kami mendesak komunitas keamanan siber untuk bergabung dan bertindak bersama melawan kelompok penjahat siber baru untuk masa depan yang lebih aman,” tambahnya.

Grup ransomware BlackCat adalah aktor ancaman yang telah aktif setidaknya sejak Desember 2021. Tidak seperti banyak pelaku ransomware lainnya, malware BlackCat ditulis dalam bahasa pemrograman Rust.

Berkat kemampuan kompilasi silang canggih Rust, BlackCat dapat menargetkan sistem Windows dan Linux. Dengan kata lain, BlackCat telah memperkenalkan kemajuan inkremental dan perubahan teknologi untuk mengatasi tantangan pengembangan ransomware.

Aktor tersebut mengklaim sebagai penerus kelompok ransomware terkenal seperti BlackMatter dan REvil. Telemetri Kaspersky menunjukkan bahwa setidaknya beberapa anggota grup BlackCat baru memiliki hubungan langsung dengan BlackMatter, menggunakan alat dan teknik yang sebelumnya digunakan secara luas oleh BlackMatter.

Dalam laporan baru, peneliti Kaspersky menggambarkan dua insiden siber yang menarik. Satu menunjukkan risiko yang ditimbulkan oleh sumber daya hosting awan bersama dan yang lainnya menunjukkan pendekatan tangkas terhadap malware khusus yang digunakan kembali dalam aktivitas BlackMatter dan BlackCat.

Kasus pertama menyangkut serangan terhadap vendor perencanaan sumber daya perusahaan (ERP) yang rentan di wilayah Timur Tengah yang menampung banyak lokasi. Penyerang secara bersamaan mengirim dua executable berbeda ke server fisik yang sama, menargetkan dua organisasi berbeda yang secara virtual di-host di sana.

Meskipun kelompok tersebut salah mengartikan server yang terinfeksi sebagai dua sistem fisik yang berbeda, penyerang meninggalkan jejak yang penting dalam menentukan cara kerja BlackCat.

Peneliti Kaspersky menyimpulkan bahwa aktor tersebut mengeksploitasi risiko aset bersama di seluruh sumber daya cloud. Selain itu, dalam kasus ini, grup mengirimkan file batch Mimikatz bersama dengan executable jaringan Nirsoft dan utilitas pemulihan kata sandi.

Insiden serupa terjadi pada tahun 2019 ketika REvil, pendahulu aktivitas BlackMatter, muncul untuk membobol layanan cloud yang mendukung sejumlah besar praktik kedokteran gigi di seluruh Amerika Serikat. BlackCat kemungkinan besar mengadopsi beberapa taktik lama ini juga.

Kasus kedua melibatkan perusahaan minyak, gas, pertambangan dan konstruksi di Amerika Selatan dan mengungkapkan hubungan antara aktivitas ransomware BlackCat dan BlackMatter.

Perusahaan mitra di balik serangan ransomware ini tidak hanya mencoba mengirimkan ransomware BlackCat ke dalam jaringan yang ditargetkan, tetapi juga mencegah pengiriman ransomware dengan instalasi yang dimodifikasi dari program eksfiltrasi khusus yang disebut “Fendr”. Juga dikenal sebagai ExMatter, utilitas ini sebelumnya digunakan secara eksklusif sebagai bagian dari aktivitas ransomware BlackMatter.

Leave a Reply

Your email address will not be published. Required fields are marked *