- Kelompok peretas PaidMemes menggunakan varian ransomware MedusaLocker, yang disebut "BabyLockerKZ", untuk menargetkan bisnis kecil dan menengah di berbagai negara.
- Mereka menggunakan tools yang mudah diakses di internet untuk mengakses dan menginfeksi sistem target, serta memiliki pengetahuan teknis yang kuat untuk menjelajahi kerentanan sistem dengan cepat.
- Serangan ransomware BabyLockerKZ dapat mengakibatkan kerugian finansial yang besar bagi korban dan mengancam keberlangsungan bisnis mereka, sehingga penting untuk memperhatikan ancaman ransomware dan mengambil langkah-langkah preventif.
pibitek.biz -Cisco Talos, kelompok intelijen ancaman, mengungkap aktivitas jahat dari sebuah kelompok peretas yang menggunakan varian terbaru ransomware MedusaLocker, yang mereka juluki "BabyLockerKZ". Peretas tersebut, yang diidentifikasi sebagai "PaidMemes", telah menginfeksi lebih dari 100 organisasi per bulan sejak setidaknya tahun 2022. Data yang dikumpulkan Cisco Talos menunjukkan bahwa PaidMemes telah menargetkan bisnis di berbagai negara, termasuk Prancis, Jerman, Spanyol, Italia, Brasil, Meksiko, Argentina, Kolombia, Amerika Serikat, Inggris Raya, Hong Kong, Korea Selatan, Australia, dan Jepang.
2 – SimpliSafe Rilis Layanan Pemantauan Aktif Waktu Nyata 2 – SimpliSafe Rilis Layanan Pemantauan Aktif Waktu Nyata
3 – Serangan Siber Hantam Globe Life, Data Ribuan Pelanggan Dicuri 3 – Serangan Siber Hantam Globe Life, Data Ribuan Pelanggan Dicuri
Meskipun Cisco Talos tidak mengumumkan angka pasti jumlah korban di setiap negara, mereka mengumumkan bahwa PaidMemes telah menginfeksi sekitar 200 IP unik per bulan hingga kuartal pertama tahun 2024. Serangan PaidMemes mengalami penurunan pada kuartal pertama tahun 2024. Cisco Talos memberikan penjelasan bahwa penurunan ini kemungkinan terkait dengan penyelidikan dan upaya pemulihan yang dilakukan oleh para korban. Cisco Talos memiliki tingkat keyakinan menengah bahwa PaidMemes adalah aktor jahat yang didorong oleh motivasi finansial, dan mereka bekerja sebagai perantara akses awal atau afiliasi kartel ransomware.
Analisis Cisco Talos mengungkap bahwa PaidMemes menargetkan berbagai industri, dengan fokus utama pada bisnis kecil dan menengah. Kelompok peretas ini dikenal dengan pendekatan oportunistiknya dalam memilih korban. Mereka tidak mencari target spesifik, dan lebih tertarik untuk mendapatkan keuntungan finansial dengan cara yang cepat dan mudah. Modus operandi PaidMemes melibatkan penggunaan berbagai alat yang mudah diakses di internet untuk mengakses dan menginfeksi sistem target. Tools ini termasuk pemindai jaringan, malware yang dirancang untuk menonaktifkan software antivirus dan EDR, alat untuk mencuri kredensial Windows, dan kode yang tersedia secara bebas di internet.
PaidMemes menggunakan tools yang dirancang untuk mencuri kredensial Windows, yang memungkinkan mereka untuk bergerak secara lateral di jaringan korban. Tools tersebut memungkinkan mereka untuk mencuri kredensial dan mengunggahnya ke server yang mereka kontrol. Strategi PaidMemes dalam mencuri kredensial dan bergerak di jaringan korban menggunakan tools yang tersedia di internet, menunjukkan bahwa mereka memiliki pengetahuan dan keahlian teknis yang luar biasa. Mereka mampu untuk memanfaatkan kesempatan yang ada untuk mendapatkan keuntungan dari kesalahan keamanan.
Cisco Talos telah berhasil mengidentifikasi beberapa alat yang digunakan oleh PaidMemes, termasuk alat yang diberi nama "Checker" yang membawa beberapa alat lainnya, seperti Remote Desktop Plus, PSEXEC, dan Mimikatz. Alat "Checker" menyediakan antarmuka pengguna grafis (GUI) untuk manajemen kredensial, yang memudahkan PaidMemes untuk mengelola kredensial yang dicuri dan melakukan pergerakan lateral di jaringan korban. PaidMemes menggunakan tools yang tersedia secara bebas di internet, yang menunjukkan bahwa mereka mampu mengadaptasi dan menyesuaikan tools yang ada untuk mencapai tujuan mereka.
Tools tersebut meningkatkan efisiensi dan kemudahan akses mereka, sehingga mereka dapat menginfeksi dan menguasai sistem target dengan cepat. PaidMemes juga menggunakan alat yang diberi nama "Mimik" yang menggabungkan Mimikatz dan rclone untuk mencuri kredensial dan mengunggahnya ke server yang mereka kontrol. PaidMemes menghindari pengawasan dengan menggunakan folder Music, Pictures atau Documents pada komputer yang dikompromikan untuk menyimpan tools yang mereka gunakan. Metode penyimpanan alat ini menunjukkan bahwa PaidMemes memiliki pemahaman yang baik tentang sistem file dan cara menghindari pengawasan keamanan.
Kemampuan mereka untuk menghindari pengawasan menunjukkan bahwa mereka merupakan pelaku yang berpengalaman dan berbahaya. Salah satu serangan BabyLockerKZ mengungkap jalur PDB dengan string "paid_memes", yang memungkinkan Cisco Talos untuk mengidentifikasi file lain pada VirusTotal, yang terutama adalah sampel ransomware. Keberadaan string "paid_memes" dalam alat dan sampel ransomware merupakan tanda yang jelas tentang hubungan antara alat dan ransomware, dan memberikan bukti tambahan tentang aktivitas jahat PaidMemes.
Penemuan ini memungkinkan Cisco Talos untuk melakukan analisis lebih lanjut terhadap aktivitas jahat PaidMemes dan mengungkap pola serangan mereka. Cisco Talos meyakini bahwa ransomware BabyLockerKZ telah ada sejak tahun 2023. Para peneliti dari Cynet memberikan nama "Hazard" untuk varian MedusaLocker ini pada tahun lalu, dan menyebutkan kunci registri BabyLockerKZ dalam analisis mereka. Penelitian dari Whitehat mengungkap kunci registri PUBLIK dan PRIBADI PAIDMEMES pada sampel MedusaLocker pada bulan Mei.
MedusaLocker bukanlah keluarga malware yang sama dengan ransomware Medusa. Penargetan bisnis kecil dan menengah oleh PaidMemes merupakan keprihatinan utama, karena bisnis-bisnis ini seringkali memiliki sumber daya keamanan yang terbatas dan sulit untuk melindungi diri dari serangan ransomware. Kurangnya sumber daya keamanan dan kekurangan kesadaran tentang ancaman ransomware meningkatkan risiko bisnis kecil dan menengah menjadi korban serangan ransomware. Cisco Talos menekankan bahwa bisnis kecil dan menengah harus meningkatkan langkah-langkah keamanan mereka untuk melindungi diri dari ancaman ransomware.
Mereka harus menginvestasikan dalam solusi keamanan yang kuat dan melatih karyawan mereka tentang best practice keamanan siber. Penting untuk mempertimbangkan langkah-langkah keamanan yang dibutuhkan untuk melindungi bisnis dari ancaman ransomware, termasuk penggunaan MFA dan SSO. Meskipun langkah-langkah keamanan ini dapat bermanfaat dalam mencegah serangan, biaya yang dibutuhkan untuk menerapkan teknologi tersebut dapat menjadi tantangan bagi bisnis kecil dan menengah. Kurangnya asuransi siber yang cukup untuk menutupi biaya tebusan ransomware juga merupakan tantangan besar bagi bisnis kecil dan menengah.
Banyak bisnis kecil dan menengah yang tidak memiliki asuransi siber yang memadai untuk menutupi biaya tebusan ransomware, sehingga mereka harus menanggung kerugian finansial yang besar jika mereka menjadi korban serangan. Cisco Talos memperkirakan bahwa bisnis kecil dan menengah akan menjadi target utama serangan ransomware di masa depan. Organisasi besar semakin baik dalam mendeteksi dan melindungi diri dari serangan ransomware, sedangkan bisnis kecil dan menengah tertinggal dan mudah menjadi korban.
Faktor utama yang mendorong penargetan bisnis kecil dan menengah adalah keuntungan finansial yang lebih besar bagi peretas. Ransomware merupakan ancaman global yang berkembang dengan cepat. Kelompok peretas terus mengembangkan taktik dan strategi serangan baru untuk menargetkan korban baru dan meningkatkan keuntungan mereka. Ancaman ransomware yang terus berkembang membutuhkan upaya bersama dari pemerintah, organisasi keamanan siber, dan perusahaan untuk mencegah dan menanggulangi ancaman ini. Peningkatan kesadaran tentang ancaman ransomware dan implementasi langkah-langkah keamanan yang kuat sangat penting untuk melindungi diri dari serangan ransomware.
Penyerangan ransomware merupakan tindakan kriminal yang merugikan banyak orang dan mengancam keamanan global. Para pelaku ransomware memanfaatkan kekurangan keamanan dan kekurangan kesadaran untuk mendapatkan keuntungan finansial yang besar dari korban mereka. Kelompok peretas ini menggunakan taktik yang semakin canggih untuk menginfeksi sistem dan mencuri data sensitif. Mereka tidak hanya merusak sistem korban tetapi juga mengancam keberlangsungan bisnis dan menimbulkan kerugian finansial yang besar.
Para pelaku ransomware harus diperangi dengan serius dan dihukum berat. Upaya internasional dan koordinasi yang baik diperlukan untuk menghentikan aktivitas ransomware dan melindungi dunia dari ancaman ini. Sangatlah mengerikan melihat bagaimana kelompok peretas ini mampu menyerang dan menguasai sistem dengan mudah. Mereka seolah mencari korban yang mudah dan mempermalukan sistem keamanan yang telah dibangun dengan kuat. Para peretas ini merupakan ancaman nyata bagi bisnis dan individu di seluruh dunia.
Mereka menunjukkan bahwa tidak ada sistem yang benar-benar aman dari serangan mereka. Sangatlah menyeramkan mengingat bagaimana mudahnya mereka melakukan serangan dan mendapatkan keuntungan finansial dari korban mereka. Perbuatan mereka menunjukkan ketidakpedulian yang besar terhadap dampak yang ditimbulkan dari aksi jahat mereka. Ransomware BabyLockerKZ merupakan ancaman serius bagi organisasi di seluruh dunia, terutama bisnis kecil dan menengah. Kelompok peretas yang menggunakan ransomware ini memiliki pengetahuan teknis yang kuat dan mampu menjelajahi kerentanan sistem dengan cepat.
Mereka menargetkan bisnis kecil dan menengah karena seringkali memiliki sistem keamanan yang lebih lemah dan mudah dikompromikan. Serangan ransomware dapat mengakibatkan kerugian finansial yang besar bagi korban dan mengancam keberlangsungan bisnis mereka. Penting untuk memperhatikan ancaman ransomware dan mengambil langkah-langkah preventif untuk melindungi diri dari serangan ransomware.
