Kelompok ransomware AvosLocker telah dikaitkan dengan serangan yang menargetkan sektor infrastruktur penting di Amerika Serikat, dan beberapa di antaranya ditemukan baru-baru ini.
Dilansir dari laporan The Hacker News atas keterangan dari Badan Keamanan Siber dan Infrastruktur AS (CISA) dan Biro Investigasi Federal (FBI) yang merinci taktik, teknik, dan layanan proses operasional ransomware as a service (RaaS) (TTP).
Baca Juga : Google Berikan Fitur Kata Sandi untuk Metode Masuk Secara Default bagi Semua Pengguna
“Afiliasi AvosLocker menerobos jaringan organisasi menggunakan perangkat lunak yang sah dan alat administrasi sistem jarak jauh sumber terbuka,” kata badan tersebut.
“Afiliasi AvosLocker kemudian menggunakan taktik pemerasan data berdasarkan eksfiltrasi data dengan ancaman membocorkan dan/atau mempublikasikan data yang dicuri.”
Ransomware ini pertama kali muncul pada pertengahan tahun 2021 dan sejak itu menggunakan teknik canggih untuk menonaktifkan perlindungan antivirus agar tidak terdeteksi. Hal ini mempengaruhi lingkungan Windows, Linux, dan VMware ESXi. Karakteristik utama serangan AvosLocker adalah ketergantungannya pada alat sumber terbuka dan taktik yang tersedia secara komersial (LotL), yang tidak meninggalkan jejak yang dapat menyebabkan atribusi. Juga digunakan utilitas sah seperti FileZilla dan Rclone untuk eksfiltrasi data serta alat terowongan seperti Chisel dan Ligolo.
Komando dan kontrol (C2) diimplementasikan melalui Cobalt Strike dan Sliver, sementara Lazagne dan Mimikatz digunakan untuk mencuri kredensial. Serangan ini juga menggunakan skrip PowerShell dan Windows Batch khusus untuk berpindah ke samping, meningkatkan hak istimewa, dan menonaktifkan perangkat lunak keamanan.
“Afiliasi AvosLocker mengunduh dan menggunakan web shell khusus untuk mengizinkan akses ke jaringan,” kata badan tersebut.
Komponen baru lainnya adalah executable yang disebut NetMonitor.exe, yang menyamar sebagai alat pemantauan jaringan namun sebenarnya bertindak sebagai proxy terbalik yang memungkinkan pelaku jahat untuk terhubung ke server di luar jaringan korban. CISA dan FBI merekomendasikan organisasi infrastruktur penting untuk menerapkan langkah-langkah mitigasi yang diperlukan untuk mengurangi kemungkinan dan dampak ransomware AvosLocker dan insiden ransomware lainnya.
Hal ini termasuk menerapkan kontrol aplikasi, membatasi penggunaan RDP dan layanan desktop jarak jauh lainnya, membatasi penggunaan PowerShell, memerlukan otentikasi multi-faktor anti-phishing, dan segmentasi jaringan, memperbarui semua sistem dan memelihara cadangan offline secara teratur.
Baca Juga : Terdapat Lebih dari 17.000 Situs WordPress Diserang Balada Injector pada Bulan September 2023
Perkembangan ini terjadi ketika Mozilla memperingatkan serangan ransomware yang mengeksploitasi kampanye maliklan untuk mengelabui pengguna agar menginstal versi Thunderbird yang sudah di-trojan, yang pada akhirnya mengarah pada penyebaran keluarga malware enkripsi file malware dan database seperti IcedID. Menurut Secureworks, serangan ransomware meningkat tajam pada tahun 2023, meskipun pelaku kejahatan dengan cepat menyebarkan ransomware dalam satu hari setelah akses awal di lebih dari 50% interaksi, turun dari waktu tunggu rata-rata sebelumnya yaitu 4,5 hari pada tahun 2022.
Selain itu, di lebih dari 10% insiden, ransomware menyebar dalam waktu 5 jam. “Penurunan waktu tunggu rata-rata kemungkinan besar disebabkan oleh penjahat dunia maya yang mengharapkan lebih sedikit peluang,” kata Don Smith, wakil presiden intelijen ancaman di Unit Ancaman Secureworks, seperti yang dilansir dari The Hacker News.
“Akibatnya, para pelaku ancaman fokus pada pelaksanaan operasi yang lebih sederhana dan lebih cepat daripada peristiwa enkripsi multi-situs yang jauh lebih kompleks dan berskala perusahaan. Namun, risiko serangan semacam itu masih sangat tinggi.”
Eksploitasi aplikasi publik, kredensial yang dicuri, malware yang tersedia secara komersial, dan layanan jarak jauh eksternal telah menjadi tiga sumber akses awal teratas untuk serangan ransomware. Menurut panduan CISA terbaru, Remote Desktop Protocol (RDP), File Transfer Protocol “FTP”, TELNET, Server Message Block (SMB), dan Virtual Network Computing (VNC) adalah beberapa kesalahan konfigurasi yang umum dan kerentanan keamanan yang diketahui. digunakan sebagai senjata dalam kampanye ransomware.
Yang lebih buruk lagi, model RaaS dan ketersediaan kode ransomware yang bocor telah menurunkan hambatan masuk bahkan bagi penjahat pemula, menjadikannya jalan yang menguntungkan untuk mendapatkan keuntungan ilegal.
“Meskipun kami masih menganggap nama-nama familiar sebagai aktor ancaman yang paling aktif, kemunculan beberapa kelompok ancaman baru yang sangat aktif menyebabkan peningkatan signifikan dalam jumlah korban dan pelanggaran data,” tambah Smith.
“Meskipun ada tindakan penghapusan dan hukuman yang sangat ketat, penjahat dunia maya masih tahu cara beradaptasi, sehingga ancamannya terus meningkat.”
Microsoft, dalam Laporan Pertahanan Digital tahunannya, mengatakan 70% organisasi yang menghadapi ransomware yang dioperasikan manusia memiliki kurang dari 500 karyawan dan 80-90% dari semua serangan berasal dari perangkat yang tidak dikelola. Data telemetri yang dikumpulkan oleh perusahaan menunjukkan bahwa serangan ransomware yang dipicu oleh manusia telah meningkat lebih dari 200% sejak September 2022.
Baca Juga : Waspada! Serangan ShellBot Terus Lakukan Eksploitasi pada Server SSH Linux
Magniber, LockBit, Hive, dan BlackCat menyumbang hampir 65% dari semua serangan ransomware. Selain itu, sekitar 16% dari serangan ransomware yang berhasil baru-baru ini terhadap manusia melibatkan enkripsi dan eksfiltrasi data, sementara 13% menggunakan pemfilteran eksfiltrasi saja.
“Operator Ransomware juga semakin mengeksploitasi kerentanan pada perangkat lunak yang kurang umum, sehingga semakin sulit untuk memprediksi dan mempertahankan diri dari serangan mereka,” kata raksasa teknologi itu.
“Hal ini memperkuat pentingnya pendekatan komprehensif terhadap keamanan.”
Redmond mengatakan pihaknya juga melihat peningkatan tajam dalam penggunaan enkripsi jarak jauh dalam serangan ransomware terhadap manusia, rata-rata sebesar 60% selama setahun terakhir. “Alih-alih menyebarkan file berbahaya ke perangkat korban, enkripsi dilakukan dari jarak jauh, dengan proses sistem melakukan enkripsi, membuat remediasi berbasis proses menjadi tidak efektif,” jelas Microsoft.
“Ini adalah tanda bahwa penyerang semakin berevolusi untuk meminimalkan jejak mereka.”
