CosmicBeetle Ngamuk: Serang Bisnis, Bajak Data, dan Ngacir



CosmicBeetle Ngamuk: Serang Bisnis, Bajak Data, dan Ngacir - credit to: thehackernews - pibitek.biz - Enkripsi

credit to: thehackernews


336-280
TL;DR
  • CosmicBeetle ngegunain ransomware ScRansom buat ngerusak bisnis.
  • CosmicBeetle, hacker terkenal, nge-upgrade ransomware dengan toolkit jahat.
  • CosmicBeetle dan RansomHub ngegunain POORTRY buat nge-nonaktifin software keamanan bisnis.

pibitek.biz -CosmicBeetle, si hacker yang lagi ngetrend, ngeluarin jurus baru! Kali ini, dia nyerang bisnis kecil dan menengah di berbagai belahan dunia, mulai dari Eropa, Asia, Afrika, sampai Amerika Selatan. Sasarannya? Ngunci data korban dan minta tebusan dengan ransomware baru bernama ScRansom! CosmicBeetle, si hacker yang lagi ngetrend, gak cuma nge-bikin ransomware sendiri. Dia juga ngikut jadi afiliasi RansomHub, geng hacker yang terkenal ngeluarin ransomware. ESET, lembaga keamanan siber yang terkenal di dunia maya, ngelihat CosmicBeetle lagi nge-upgrade senjata.

Mereka udah ganti Scarab, ransomware lama, dengan ScRansom yang lebih canggih. "Walaupun gak terlalu hebat, CosmicBeetle bisa ngerusak bisnis yang lumayan penting", kata Jakub Sou'ek, peneliti ESET yang terkenal dengan analisisnya yang tajam. CosmicBeetle kayaknya gak mau ketinggalan zaman, mereka terus ngembangin jurus-jurus baru buat nge-hack sistem. ScRansom ngincar berbagai bidang, mulai dari manufaktur yang nge-produksi barang-barang penting sampai farmasi yang nge-buat obat-obatan, dari bidang hukum yang nge-atur keadilan sampai pendidikan yang nge-bentuk generasi penerus, dari kesehatan yang nge-urus kesehatan masyarakat sampai teknologi yang nge-kreasikan inovasi baru, dari pariwisata yang nge-hibur wisatawan sampai hiburan yang nge-buat hidup lebih seru, dari keuangan yang nge-atur aliran uang sampai pemerintahan daerah yang nge-layani masyarakat.

CosmicBeetle terkenal dengan Spacecolon, toolkit jahat buat ngirim Scarab ke berbagai perusahaan di seluruh dunia. Toolkit ini dirancang khusus buat nge-hack sistem dan nge-luarin Scarab, ransomware yang dulu nge-buat banyak bisnis kelimpungan. Si hacker ini juga dikenal dengan nama NONAME, dan punya kebiasaan nge-test LockBit builder yang bocor. LockBit builder adalah toolkit yang dipakai buat nge-buat ransomware LockBit, geng ransomware terkenal yang nge-buat banyak korban kelimpungan. Tujuannya? Biar bisa nge-klaim jadi LockBit, geng ransomware terkenal, di catatan tebusan dan situs bocor.

Dari November 2023, CosmicBeetle udah nyoba nge-spam nama LockBit. Mereka ngirim catatan tebusan dan nge-posting data yang dicuri di situs bocor LockBit. Mereka berharap bisa nge-manfaatkan nama besar LockBit buat nge-buat korbannya lebih takut dan buru-buru bayar tebusan. Masih misteri siapa orang di balik CosmicBeetle dan dari mana asalnya. Tahun lalu, ada dugaan kalo CosmicBeetle berasal dari Turki. Dugaan ini muncul karena CosmicBeetle ngegunain skema enkripsi khusus yang ada di ScHackTool. Skema ini ditemukan di program Disk Monitor Gadget yang dibuat VOVSOFT, perusahaan software dari Turki.

Tapi, ESET gak yakin dugaan itu bener. Mereka terus nge-investigasi dan nge-cari bukti yang lebih kuat. "Skema enkripsi di ScHackTool juga ada di Disk Monitor Gadget", kata Sou'ek. "Mungkin skema ini diadaptasi dari Stack Overflow sama VOVSOFT. Beberapa tahun kemudian, CosmicBeetle nemuin skema ini dan ngegunainnya buat ScHackTool". CosmicBeetle ngerusak sistem target dengan berbagai cara, seperti nge-hack password dengan brute force dan ngembaliin kelemahan keamanan yang udah diketahui. Brute force adalah cara yang paling sederhana dan paling brutal buat nge-hack password, tapi bisa jadi sangat efektif kalo targetnya gak nge-gunain password yang kuat.

Beberapa kelemahan keamanan yang dieksploitasi CosmicBeetle: CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475, dan CVE-2023-27532. CosmicBeetle ngeluarin jurus baru di setiap serangan. Mereka ngegunain berbagai toolkit, termasuk Reaper, Darkside, dan RealBlindingEDR buat ngebunuh proses keamanan. Tujuannya? Biar gak ketahuan pas ngeluarin ScRansom, ransomware yang dibuat dengan Delphi. ScRansom punya kemampuan buat nge-enkripsi sebagian data, jadi prosesnya lebih cepet.

Si hacker ini juga punya "ERASE" mode buat nge-hapus file permanen dengan cara nge-ganti file aslinya dengan nilai konstan. CosmicBeetle lagi nge-jahili bisnis. Kenapa? Karena mereka ngirim ScRansom dan RansomHub ke komputer yang sama dalam waktu seminggu. "Mungkin karena susah buat nge-coding ransomware sendiri, CosmicBeetle nyoba buat nge-spam nama LockBit. Tujuannya? Biar ransomware-nya keliatan keren dan korbannya lebih takut buat bayar", kata Sou'ek. CosmicBeetle udah ngerusak banyak bisnis.

Tapi, ada hacker lain yang lebih ngeri! Cicada3301, geng hacker yang ngeluarin ransomware Repellent Scorpius, nge-update ransomware-nya. Cicada3301 nge-upgrade enkripsi Repellent Scorpius sejak Juli 2024. Unit 42, tim peneliti dari Palo Alto Networks, ngasih tau kalo ransomware-nya Cicada3301 udah punya jurus baru. Mereka nge-tambahin argumen command-line baru, –no-note. Argumen ini buat nge-nonaktifkan fitur buat nulis catatan tebusan di sistem. Cicada3301 juga nge-hilangin username dan password yang tertanam di program.

Meskipun begitu, Cicada3301 masih bisa ngeluarin PsExec dengan username dan password kalo ada. Unit 42 ngelihat Cicada3301 ngegunain data dari serangan lama, yang terjadi sebelum mereka ngaku-ngaku jadi Cicada3301. Mungkin Cicada3301 ngegunain nama ransomware lain sebelumnya, atau mereka beli data dari geng ransomware lain. Unit 42 ngelihat ada kesamaan antara serangan Cicada3301 dan serangan BlackCat di bulan Maret 2022. Cicada3301 ngegunain driver Windows yang di-sign. Driver ini ngebantu mereka nge-nonaktifin software Endpoin Detection and Response (EDR) buat nge-hapus program yang penting.

Driver ini bernama POORTRY, dan bisa nge-hapus file di hard disk. POORTRY juga dikenal dengan nama BURNTCIGAR. Hacker ngirim driver ini dengan loader bernama STONESTOP buat ngeluarin serangan Bring Your Own Vulnerable Driver (BYOVD). Driver ini nge-bypass Driver Signature Enforcement, sistem keamanan Microsoft. POORTRY udah ada sejak tahun 2021. Banyak geng ransomware yang ngegunain POORTRY, termasuk CUBA, BlackCat, Medusa, LockBit, dan RansomHub. "Stonestop dan Poortry di-pack dan di-obfuscate dengan cara yang rumit", kata Sophos, perusahaan keamanan siber yang terkenal dengan analisisnya yang mendalam.

Stonestop di-obfuscate dengan ASMGuard, packer yang tersedia di GitHub. POORTRY fokus buat nge-nonaktifin software EDR dengan berbagai cara, seperti nge-hapus atau nge-ubah kernel notify routines. POORTRY bisa ngebunuh proses keamanan dan nge-nonaktifin software EDR dengan cara nge-hapus file penting di hard disk. POORTRY nge-manfaatkan kode signing certificates yang dicuri atau dipake secara ilegal buat nge-bypass Driver Signature Verification dari Microsoft. RansomHub ngegunain versi baru POORTRY.

RansomHub juga ngegunain EDRKillShifter, alat buat nge-nonaktifin software EDR. RansomHub ngegunain TDSSKiller, program dari Kaspersky, buat nge-nonaktifin software EDR di komputer target. "Hacker udah lama nge-test berbagai cara buat nge-nonaktifin software EDR. Trend ini udah ada sejak tahun 2022", kata Sophos. "Mungkin hacker ngegunain berbagai teknik buat nge-nonaktifin software EDR. Mereka mungkin nge-eksploitasi driver yang rentan atau ngegunain certificates yang bocor atau dicuri. Mungkin ada banyak hacker yang ngegunain cara yang berbeda-beda. Tapi, kita gak bisa ngasih opini yang gak jelas".

CosmicBeetle ngerusak banyak bisnis, nge-hack data, dan nge-curi uang tebusan. CosmicBeetle juga ngeluarin jurus baru buat nge-nonaktifin software keamanan. CosmicBeetle dan geng hacker lain gak punya hati nurani. Mereka ngerusak bisnis dan nge-curi uang. Hacker-hacker ini gak punya hati nurani. CosmicBeetle ngerusak banyak bisnis dengan ransomware ScRansom. CosmicBeetle juga nge-upgrade ransomware-nya dengan berbagai cara. CosmicBeetle ngegunain banyak toolkit dan driver buat nge-hack sistem dan nge-nonaktifin software keamanan.

CosmicBeetle ngerusak banyak bisnis di berbagai negara. CosmicBeetle dan geng hacker lain kayaknya gak bakal berhenti nge-hack sistem. Geng hacker ini terus nge-upgrade senjata dan nyerang bisnis dengan ransomware yang lebih canggih. Hati-hati, ya!