Kelompok ransomware hantu yang didukung China telah mengumpulkan korban di lebih dari 70 negara sejak 2021, dengan menargetkan sistem yang menghadap ke internet yang rentan, sering bergerak cepat dari akses awal ke kompromi hanya dalam satu hari.
Badan Keamanan Cybersecurity dan Infrastruktur (CISA) mengeluarkan penasihat Pada 19 Februari yang memberi cahaya baru tentang bagaimana kelompok ransomware yang produktif beroperasi, sebagai peringatan bagi organisasi dengan sistem yang menjalankan versi perangkat lunak dan firmware yang sudah ketinggalan zaman dengan kerentanan yang diketahui, yang telah digunakan grup untuk memasang serangan yang berhasil. Penasihat adalah bagian dari kampanye #Stopransomware agensi.
Temuan ini juga menunjukkan seberapa cepat grup ransomware dapat masuk dan keluar dari jaringan organisasi dan melakukan kerusakan untuk keuntungan finansial dalam waktu yang relatif singkat. Memang, CISA menemukan bahwa kegigihan bukanlah perhatian bagi hantu karena para aktornya “biasanya hanya menghabiskan beberapa hari di jaringan korban,” menurut penasihat.
“Dalam beberapa kasus, mereka telah diamati melanjutkan dari kompromi awal ke penyebaran ransomware pada hari yang sama,” menurut penasihat CISA.
Ini tidak biasa kelompok ransomware tradisionalyang “mungkin memiliki hari, berminggu-minggu, atau bahkan berbulan-bulan dari akses awal yang diperoleh hingga penyebaran ransomware,” catat Roger Grimes, penginjil pertahanan berbasis data di perusahaan keamanan Knowbe4.
Permukaan serangan cyber yang lebar dari hantu ransomware
Penasihat CISA juga menerangi dampak hantu ransomware di seluruh dunia dan beberapa seluk beluk strategi serangan kelompok yang sulit dipahami.
Sejauh ini, serangan ini telah mencapai banyak organisasi di berbagai industri, termasuk infrastruktur kritis, sekolah dan universitas, perawatan kesehatan, jaringan pemerintah, lembaga keagamaan, perusahaan teknologi dan manufaktur, dan berbagai bisnis kecil dan menengah, menurut CISA.
Sepanjang jalan, grup ini menargetkan kerentanan dalam sistem yang menghadap ke internet yang tidak tertandingi, termasuk kelemahan yang diketahui dalam peralatan Fortinet Fortios, server yang menjalankan Adobe Coldfusion dan Microsoft Sharepoint, dan rantai serangan proxyshell di server Microsoft Exchange.
Ghost juga telah menunjukkan kemampuan gesit untuk membuat para pembela menebak dengan memutar muatan ransomware yang dapat dieksekusi, mengganti ekstensi file untuk file terenkripsi, memodifikasi teks catatan tebusan, dan menggunakan banyak alamat email tebusan. Ini “telah menyebabkan atribusi variabel grup ini dari waktu ke waktu,” dengan satu kelompok pada akhirnya menjadi penyebab di balik serangan yang dikaitkan dengan kelompok CringCrypt3r, Phantom, Strike, Hello, Wickrme, Hsharada, dan Rapture, menurut CISA.
Memetakan aliran serangan cyber hantu
Aliran serangan yang khas mencakup kelompok yang menargetkan salah satu kelemahan ini untuk akses awal, kemudian bergerak cepat untuk melakukan pemogokan kobalt-alat simulasi musuh yang sah yang sering digunakan oleh aktor ancaman-sebagai fondasi untuk serangan dan komando-dan-kontrol (C2) Operasi.
Setelah ransomware dikerahkan, aktor hantu biasanya menginformasikan organisasi dalam catatan tebusan mereka bahwa data yang dieksfiltrasi akan dijual jika tebusan tidak dibayar. Anehnya, CISA menemukan bahwa “aktor hantu tidak sering mengeluarkan sejumlah besar informasi atau file, seperti kekayaan intelektual atau informasi yang dapat diidentifikasi secara pribadi (PII), yang akan menyebabkan kerusakan yang signifikan bagi para korban jika bocor,” menurut penasihat. Ini menunjukkan bahwa aktor menggunakan ancaman kosong daripada kemampuan sejati untuk membocorkan file berharga untuk membuat korban membayar tebusan, CISA menunjukkan.
Dalam hal enkripsi, grup menggunakan berbagai Varian hantu – termasuk Cring.exe, Ghost.exe, Elysium.exe, dan Locker.exe – untuk mengenkripsi direktori tertentu atau penyimpanan seluruh sistem. Kelompok ini biasanya menuntut di mana saja dari puluhan hingga ratusan ribu dolar dalam cryptocurrency dengan imbalan perangkat lunak dekripsi.
Selain itu, dampak dari aktivitas ransomware hantu sangat bervariasi berdasarkan korban-ke-kekejian, dan kelompok ini fleksibel dalam penargetannya, bergerak dengan cepat “ketika dihadapkan dengan sistem yang keras, seperti yang di mana segmentasi jaringan yang tepat mencegah momen lateral ke yang lain perangkat, “menurut CISA.
Defense Cyber: Pengingat untuk menambal lebih awal & sering
Mengingat kemampuan Ghost yang cepat untuk mengubah sistem yang tidak ditandingi menjadi serangan ransomware yang berhasil, penasihat CISA mengingatkan organisasi untuk menambal sistem dengan kerentanan yang diketahui sejak dini dan sering.
“Perangkat lunak dan firmware yang tidak ditandingi (dan zero-days) terlibat dalam setidaknya sepertiga dari kompromi yang berhasil,” kata Grimes. “Setiap organisasi memiliki proses penambalan, tetapi sebagian besar tidak mendapatkannya dengan sempurna, dan jika sepertiga dari semua kompromi yang berhasil melibatkan menemukan dan mengeksploitasi perangkat lunak dan firmware yang rentan, itu benar-benar harus menjadi fokus utama untuk semua organisasi.”
Organisasi juga harus memindai lingkungan mereka untuk mendeteksi instance pemogokan kobalt, mengingat sering digunakan oleh aktor ancaman dalam serangan, Ransomware dan sebaliknyakatanya.
CISA juga termasuk dalam penasihatnya daftar indikator kompromi (IOC) yang terkait dengan serangan hantu ransomware – termasuk alat, executable, dan alamat email – dan membuat serangkaian rekomendasi lebih lanjut yang dapat digunakan organisasi untuk mengurangi serangan.
