Ransomware Jenis Baru yang Ganas Ini Hantui 60 Organisasi Berbeda di Seluruh Dunia
JAKARTA - Jenis ransomware baru BlackCat, yang juga dikenal sebagai ALPHV telah menginfeksi setidaknya 60 organisasi berbeda di seluruh dunia antara November 2021 dan Maret 2022.
Dalam laporan hasil investigasi yang dilakukan Biro Investigasi Federal (FBI), BlackCat merupakan aktor ransomware-as-a-service (RaaS) yang berhasil menggunakan RUST, yang dianggap sebagai bahasa pemrograman lebih aman menawarkan peningkatan kinerja dan pemrosesan bersamaan yang andal.
Ransomware BlackCat sendiri dapat disesuaikan, dilengkapi dengan dukungan untuk beberapa metode dan opsi enkripsi yang memudahkan untuk menyesuaikan serangan ke berbagai lingkungan perusahaan.
Sejak awal tahun, FBI telah mengeluarkan peringatan lain yang menggarisbawahi bagaimana geng ransomware, termasuk BlackByte, Ragnar Locker dan Avoslocker menargetkan dan telah melanggar lusinan organisasi infrastruktur penting di Amerika Serikat (AS).
"BlackCat biasanya menuntut pembayaran dalam Bitcoin dan Monero sebagai ganti kunci dekripsi, dan meskipun permintaan biasanya dalam jutaan, sering kali menerima pembayaran di bawah permintaan awal," kata FBI.
Lebih lanjut, BlackCat juga memiliki ikatan yang kuat dengan Darkside (alias Blackmatter), kelompok tersebut memiliki jaringan dan pengalaman yang luas dalam mengoperasikan serangan malware dan ransomware.
"Banyak pengembang dan pencuci uang untuk BlackCat/ALPHV terkait dengan Darkside/Blackmatter, menunjukkan bahwa mereka memiliki jaringan dan pengalaman yang luas dengan operasi ransomware," ujar FBI.
Untuk diketahui, operasi DarkSide RaaS diluncurkan pada Agustus 2020 dan ditutup pada Mei 2021 setelah upaya lembaga penegak hukum untuk menjatuhkan geng tersebut menyusul serangan yang dipublikasikan secara luas terhadap peristiwa Colonial Pipeline.
Sementara mereka berganti nama menjadi BlackMatter pada 31 Juli, mereka dipaksa untuk ditutup lagi pada November 2021, setelah Emsisoft menemukan dan mengeksploitasi kelemahan ransomware untuk membuat decryptor, dan server geng disita.
Cara Geng Ransomware BlackCat Serang Korbannya
Melansir TechRadar, Selasa, 26 April, biasanya, serangan dimulai dengan akun yang sudah disusupi, memberi penyerang akses awal ke titik akhir target. Grup tersebut kemudian mengkompromikan akun pengguna dan administrator Active Directory, dan menggunakan Penjadwal Tugas Windows untuk mengonfigurasi Objek Kebijakan Grup (GPO) berbahaya, untuk menyebarkan ransomware.
Penyebaran awal menggunakan skrip PowerShell, bersama dengan Cobalt Strike, dan menonaktifkan fitur keamanan dalam jaringan korban.
Baca juga:
Penyerang kemudian mengunduh data sebanyak mungkin, sebelum mengunci sistem. Dan mereka bahkan berusaha menarik data dari penyedia hosting cloud mana pun yang dapat mereka temukan. Akhirnya, dengan bantuan skrip Windows, BlackCat bisa menyebarkan ransomware ke host tambahan.
FBI juga telah membuat daftar lengkap mitigasi yang direkomendasikan, mencakup peninjauan pengontrol domain, server, workstation, dan direktori aktif untuk akun pengguna baru atau yang tidak dikenal.
Selain itu, pengguna bisa mencadangkan data secara teratur, meninjau Penjadwal Tugas untuk tugas terjadwal yang tidak dikenal, dan memerlukan kredensial admin untuk proses penginstalan perangkat lunak apa pun.