idNSA.id – Cybercriminal semakin banyak mengalihdayakan tugas menyebarkan ransomware ke afiliasi menggunakan malware komoditas dan alat serangan, menurut penelitian baru.
Dalam analisis baru yang diterbitkan oleh Sophos, penyebaran ransomware Ryuk dan Egregor baru-baru ini telah melibatkan penggunaan backdoor SystemBC untuk bergerak secara lateral melintasi jaringan dan mengambil muatan tambahan untuk eksploitasi lebih lanjut.
Afiliasi biasanya merupakan pelaku ancaman yang bertanggung jawab untuk mendapatkan pijakan awal di jaringan target.
"SystemBC adalah bagian reguler dari perangkat penyerang ransomware baru-baru ini," kata threat researcher senior Sophos dan mantan editor keamanan nasional Ars Technica, Sean Gallagher.
"The Backdoor dapat digunakan dalam kombinasi dengan skrip dan malware lain untuk melakukan penemuan, eksfiltrasi, dan pergerakan lateral secara otomatis di beberapa target. Kemampuan SystemBC ini awalnya ditujukan untuk eksploitasi massal, tetapi sekarang telah dimasukkan ke dalam toolkit untuk ditargetkan serangan - termasuk ransomware. "
Pertama kali didokumentasikan oleh Proofpoint pada Agustus 2019, SystemBC adalah malware proxy yang memanfaatkan protokol internet SOCKS5 untuk menutupi lalu lintas ke server command-to-control (C2) dan mengunduh Trojan perbankan DanaBot.
SystemBC RAT telah memperluas perangkatnya dengan karakteristik baru yang memungkinkannya menggunakan koneksi Tor untuk mengenkripsi dan menyembunyikan tujuan komunikasi C2, sehingga memberikan penyerang dengan backdoor yang persisten untuk meluncurkan serangan lain.
Para peneliti mencatat bahwa SystemBC telah digunakan dalam sejumlah serangan ransomware - sering kali terkait dengan alat pasca-eksploitasi lainnya seperti CobaltStrike - untuk memanfaatkan proxy Tor dan fitur akses jarak jauhnya untuk mengurai dan menjalankan perintah shell berbahaya, skrip VBS, dan lainnya. Gumpalan DLL yang dikirim oleh server melalui sambungan anonim.
Tampaknya juga bahwa SystemBC hanyalah salah satu dari banyak alat komoditas yang digunakan sebagai konsekuensi dari kompromi awal yang berasal dari email phishing yang mengirimkan pemuat malware seperti Buer Loader, Zloader, dan Qbot - membuat para peneliti curiga bahwa serangan itu mungkin terjadi. diluncurkan oleh afiliasi dari operator ransomware, atau oleh geng ransomware itu sendiri melalui beberapa penyedia malware-as-a-service.
"Kemampuan ini memberi penyerang kemampuan point-and-shoot untuk melakukan penemuan, eksfiltrasi dan gerakan lateral dengan paket skrip dan executable - tanpa harus memiliki keyboard," kata para peneliti.
Munculnya malware komoditas juga menunjukkan tren baru di mana ransomware ditawarkan sebagai layanan kepada afiliasi, seperti dalam kasus MountLocker , di mana operator memberikan kemampuan pemerasan ganda kepada afiliasi untuk mendistribusikan ransomware dengan sedikit usaha.
"Penggunaan beberapa alat dalam serangan ransomware-as-a-service menciptakan profil serangan yang semakin beragam yang lebih sulit diprediksi dan ditangani oleh tim keamanan TI," kata Gallagher. "Pertahanan mendalam, pendidikan karyawan dan perburuan ancaman berbasis manusia sangat penting untuk mendeteksi dan memblokir serangan semacam itu."
Sumber Artikel: TheHackerNews
