RansomHub: Perburuan Tahta Ransomware



RansomHub: Perburuan Tahta Ransomware - credit for: theregister - pibitek.biz - Ahli

credit for: theregister


336-280
TL;DR
  • RansomHub, kelompok ransomware baru, merekrut anggota LockBit.
  • RansomHub menginfeksi 210 korban sejak Februari, korban LockBit juga.
  • RansomHub dan Play persaingan dengan LockBit, korban BlackByte tidak banyak tertulis situs.

pibitek.biz -RansomHub, sebuah kelompok ransomware yang baru saja muncul, sedang gencar mencari tahta ransomware. Kelompok ini terus merekrut anggota dari kelompok ransomware LockBit dan ALPHV yang telah tumbang, dan semakin banyak korban yang mereka dapatkan. Situasi ini membuat para ahli keamanan dan penegak hukum di Amerika Serikat mengeluarkan peringatan resmi tentang bahaya RansomHub. RansomHub telah berhasil menginfeksi setidaknya 210 korban sejak awal kemunculannya pada bulan Februari tahun ini. Sebuah pencapaian yang luar biasa, mengingat kelompok ini masih baru dan terdiri dari para anggota yang direkrut dari kelompok ransomware lainnya.

Kelompok ini telah mengincar berbagai sektor, tanpa membeda-bedakan, termasuk infrastruktur penting dan layanan darurat. Para anggota RansomHub tidak segan-segan menyerang siapa pun yang dapat mereka jangkau, membuat mereka menjadi ancaman yang sangat serius. Untuk membantu para pembela keamanan siber menghadapi ancaman RansomHub, lembaga keamanan siber Amerika Serikat seperti CISA, FBI, HHS, dan MS-ISAC telah merilis sebuah advisory yang berisi informasi tentang taktik, teknik, dan prosedur (TTPs) yang digunakan oleh RansomHub.

Advisory ini memberikan informasi penting tentang cara kerja RansomHub, terutama mengenai metode serangan yang mereka gunakan. RansomHub seringkali memanfaatkan kerentanan yang belum lama ditemukan. Kerentanan yang dikenal sebagai CVE-2017-0144 yang merupakan dasar dari eksploit EternalBlue yang dikembangkan oleh NSA serta ZeroLogon yang dirilis pada tahun 2020 juga sering digunakan oleh RansomHub dalam serangannya. Selain kerentanan, RansomHub juga menggunakan berbagai alat dan teknik yang dikenal dalam serangan siber.

Salah satunya adalah Mimikatz, yang digunakan untuk mencuri credential atau informasi masuk ke sistem. Mereka juga menggunakan alat seperti Cobalt Strike dan Metasploit untuk bergerak di dalam jaringan, menetapkan infrastruktur C2 (Command and Control), dan mencuri data korban. RansomHub juga menggunakan alat lainnya seperti PuTTY dan AWS S3 buckets untuk mengeluarkan data yang dicuri. Advisory ini memberikan daftar lengkap alat dan teknik yang digunakan oleh RansomHub, dan penting untuk memperhatikan bahwa alat dan teknik ini dapat berbeda tergantung pada anggota yang melaksanakan serangan.

Advisory ini juga mencantumkan beberapa langkah yang dapat diambil untuk menghindari serangan RansomHub. Kebanyakan langkah ini merupakan langkah dasar keamanan siber, seperti memperbarui sistem dan software, memisahkan jaringan, dan menerapkan kebijakan kata sandi yang kuat. CISA juga menyertakan informasi tentang Secure By Design initiative mereka. CISA menekankan pentingnya peran perusahaan software dalam meningkatkan keamanan produk mereka. Mereka mengajak perusahaan software untuk mengintegrasikan keamanan ke dalam arsitektur produk mereka dan menetapkan MFA (Multi-Factor Authentication), terutama yang tahan terhadap phishing, untuk pengguna berhak akses.

Meskipun LockBit telah berhasil dihancurkan setelah empat tahun, RansomHub tampaknya akan terus beroperasi dalam waktu yang lama. Kelompok ini terus mencari anggota baru dan menyerang korban baru dengan cepat. RansomHub saat ini berada di peringkat atas daftar kelompok ransomware dengan jumlah korban terbanyak. Hal ini menunjukkan betapa berbahayanya kelompok ini dan betapa seriusnya ancaman yang mereka timbulkan. RansomHub telah menjadi pilihan utama untuk kelompok ransomware canggih seperti Scattered Spider.

Hal ini menunjukkan betapa dipercayai RansomHub di kalangan penjahat siber. Hanya delapan bulan yang lalu, RansomHub belum ada dan LockBit dan ALPHV merajai pasar ransomware. Meskipun ada pesaing lain, tidak ada yang mencapai skala yang sama dengan LockBit dan ALPHV. Sekarang, LockBit berjuang untuk bertahan dan ALPHV telah lenyap. RansomHub memanfaatkan keadaan ini dan berusaha mengambil alih tahta ransomware. Mereka menggunakan para mantan anggota LockBit dan ALPHV untuk memperkuat posisi mereka.

Persaingan di pasar ransomware kini jauh lebih keras dibandingkan beberapa bulan yang lalu. Kelompok-kelompok seperti INC, Play, Akira, Qilin, dan lainnya juga berusaha mengambil alih tahta ransomware dan mencatat jumlah korban yang sama dengan RansomHub. Namun, ada satu kelompok lain yang tidak boleh diremehkan. Kelompok ini adalah BlackByte, yang baru-baru ini diketahui lebih aktif daripada yang ditunjukkan oleh situs kebocoran data mereka. Para peneliti dari Cisco Talos menemukan bahwa hanya sekitar 20-30 persen dari jumlah korban BlackByte yang dipublikasikan di situs kebocoran data mereka.