Internet Sehat : Biro Investigasi Federal AS (FBI) mengatakan 49 organisasi, termasuk beberapa di pemerintahan, terkena serangan ransomware Kuba pada awal November tahun ini.
Serangan itu tersebar di lima infrastruktur penting selain pemerintah, termasuk keuangan, perawatan kesehatan, manufaktur, dan sektor TI. FBI mengatakan akhir pekan lalu para pelaku ancaman menuntut uang tebusan sebesar 76 juta dollar AS dan telah menerima setidaknya 43,9 juta dollar AS pembayaran uang tebusan.
Pilihan kelompok ransomware adalah Hancitor yang didistribusikan melalui email phishing atau melalui eksploitasi kerentanan Microsoft Exchange, kredensial yang disusupi, atau alat Remote Desktop Protocol (RDP). Hancitor – juga dikenal sebagai Chanitor atau Tordal mengaktifkan suar CobaltStrike sebagai layanan di jaringan korban menggunakan layanan Windows yang sah seperti PowerShell.
Ransomware mengunduh pones.exe untuk mencuri kata sandi dan krots.exe untuk memungkinkan penjahat menulis ke file TMP sistem. Setelah TMP diperbarui, file dijalankan di jaringan yang disusupi. File TMP kemudian dihapus sendiri berkat panggilan API yang terkait dengan injeksi memori.
Kelompok ransomware tersebut juga menggunakan alat red-teaming/malware Mimikatz untuk mengambil kredensial akses dari memori, kemudian menggunakan RDP untuk masuk dengan menyamar sebagai akun pengguna tertentu. Artinya penjahat dapat menggunakan server CobaltStrike untuk berkomunikasi dengan akun pengguna yang disusupi. Sementara itu, muatan yang disandikan base64 dimuat ke dalam memori, yang telah dialokasikan ruang memori oleh salah satu fungsi skrip PowerShell awal. Payload mencapai server command-and-control (C2) jarak jauh di mana ia dapat menyebarkan file ransomware tahap berikutnya.
Grup Kuba biasanya mengancam untuk memposting file sensitif di web gelap jika perusahaan menolak tebusan. Untuk mengurangi risiko harus memilih antara informasi yang terbuka dan kehilangan banyak uang.
Sumber : The Register
