FinTechnesia.com | Dalam laporan terbaru berjudul, “A bad luck BlackCat,” peneliti Kaspersky mengungkapkan rincian dua insiden siber yang dilakukan oleh grup ransomware BlackCat.
Kompleksitas malware, dikombinasikan pengalaman para aktor di baliknya, menjadikan grup tersebut salah satu pemain utama di pasar ransomware saat ini.
Alat dan teknik saat melakukan upaya serangan mengonfirmasi hubungan antara BlackCat dan grup ransomware terkenal lain. Seperti BlackMatter dan REvil.
Grup ransomware BlackCat adalah aktor ancaman yang telah beroperasi setidaknya sejak Desember 2021. Tidak seperti banyak aktor ransomware lain, malware BlackCat ditulis dalam bahasa pemrograman Rust.
Berkat kemampuan kompilasi silang canggih Rust, BlackCat dapat menargetkan sistem Windows dan Linux. Dengan kata lain, BlackCat telah memperkenalkan kemajuan inkremental dan pergeseran teknologi yang digunakan untuk mengatasi tantangan pengembangan ransomware.
Aktor tersebut mengklaim sebagai penerus kelompok ransomware terkenal seperti BlackMatter dan REvil. Setidaknya beberapa anggota grup BlackCat baru memiliki tautan langsung ke BlackMatter. Mereka menggunakan alat dan teknik yang sebelumnya telah digunakan secara luas oleh BlackMatter.
Dalam laporan baru, “A bad luck BlackCat,” peneliti Kaspersky menjelaskan dua insiden siber yang menarik. Satu menunjukkan risiko sumber daya hosting cloud bersama dan yang lain menunjukkan pendekatan gesit terhadap malware khusus yang digunakan kembali di seluruh aktivitas BlackMatter dan BlackCat.
Kasus pertama melihat serangan terhadap penyedia ERP (enterprise resource planning) atau perencanaan sumber daya perusahaan, yang rentan di Kawasan Timur Tengah yang menampung banyak situs.
Penyerang secara bersamaan mengirimkan dua executable berbeda ke server fisik yang sama, menargetkan dua organisasi berbeda yang dihosting secara virtual di sana. Meskipun grup tersebut salah memahami server yang terinfeksi sebagai dua sistem fisik yang berbeda, penyerang meninggalkan jejak yang penting untuk menentukan gaya operasi BlackCat.
Peneliti Kaspersky menyimpulkan, aktor tersebut mengeksploitasi risiko aset bersama di seluruh sumber daya cloud. Selain itu, dalam hal ini, grup mengirimkan file batch Mimikatz bersama dengan executable dan utilitas pemulihan kata sandi jaringan Nirsoft.
Insiden serupa terjadi pada tahun 2019 ketika REvil, pendahulu aktivitas BlackMatter, muncul untuk menembus layanan cloud yang mendukung sejumlah besar kantor dokter gigi di Amerika Serikat. Kemungkinan besar BlackCat juga telah mengadopsi beberapa taktik lama ini.
Kasus kedua melibatkan perusahaan minyak, gas, pertambangan dan konstruksi di Amerika Selatan. Serta mengungkapkan hubungan antara aktivitas ransomware BlackCat dan BlackMatter.
Pengetahuan tentang pengembangan malware, contoh baru yang ditulis dari awal dalam bahasa pemrograman yang tidak biasa, dan pengalaman dalam memelihara infrastruktur, telah mengubah grup BlackCat menjadi pemain utama di pasar ransomware.
Dengan menganalisis insiden besar ini, kami menyoroti fitur, alat, dan teknik utama yang digunakan oleh BlackCat saat menembus jaringan target.
“Pengetahuan ini membantu kami menjaga keamanan dan perlindungan pengguna baik dari ancaman yang dikenal maupun tidak dikenal. Kami mendesak komunitas keamanan siber untuk bergabung dan bekerja sama melawan kelompok penjahat siber baru untuk masa depan yang lebih aman,” terang Dmitry Galov, peneliti keamanan di Tim Riset dan Analisis Global (GReAT) Kaspersky, dalam rilis ke FinTechnesia, belum lama ini. (jun)