FBI : Geng Ransomware BlackCat Menyerang 60 Organisasi

Internet Sehat : Geng ransomware BlackCat adalah kelompok ransomware pertama yang diketahui berhasil masuk ke jaringan dengan malware Rust dan telah menyerang setidaknya 60 organisasi secara global pada Maret 2022. Hal ini diungkpakan oleh FBI.

BlackCat yang juga dikenal sebagai ALPHV adalah kelompok penjahat dunia maya yang relatif baru yang mengoperasikan Windows ransomware-as-a-service. Sementara itu hanya muncul di peristiwa ransomware pada November 2021. Peneliti keamanan dan penegak hukum federal telah menghubungkan pengembang dan pencuci uangnya dengan jaringan kejahatan Darkside/Blackmatter yang terkenal. Hal ini menunjukkan bahwa mereka memiliki jaringan dan pengalaman yang luas dengan operasi ransomware.

Dalam analisis sebelumnya, peneliti keamanan di Cisco Talos dan Palo Alto Networks Unit 42 juga mencatat preferensi BlackCat untuk Rust, dengan Unit 42 mengatakan geng tersebut salah satu yang pertama, jika bukan yang pertama dari jenisnya yang menggunakan bahasa pemrograman ini.

Kepala Advokat Keamanan Attivo Networks Carolyn Crandall mengataka fakta bahwa geng menulis ransomware di Rust, sebagai lawan dari C/C++, menarik. Rust bisa dibilang memiliki langkah-langkah keamanan penting, yang berarti malware bisa lebih stabil dan andal. Seperti toolchain C/C++, lingkungan Rust dapat digunakan untuk membangun program untuk perangkat yang disematkan dan berintegrasi dengan bahasa pemrograman lain.

Peringatan FBI yang disebutkan di atas juga mencakup indikator kompromi BlackCat dan memperingatkan bahwa ransomware biasanya memanfaatkan kredensial pengguna yang sebelumnya dikompromikan untuk mendapatkan akses ke sistem korban. Penyebaran awal malware memanfaatkan skrip PowerShell, bersama dengan Cobalt Strike, dan menonaktifkan fitur keamanan di dalam jaringan korban.

Setelah membobol, malware menyusup ke akun pengguna dan administrator Active Directory dan menggunakan Windows Task Scheduler untuk mengonfigurasi objek kebijakan grup berbahaya untuk menyebarkan ransomware. Namun sebelum mengeksekusi ransomware, BlackCat mencuri data korban, termasuk informasi dari penyedia cloud.

Sumber : The Register

Share