Berita Brief
Serangan ransomware Medusa semakin menjadi alat inti untuk kelompok ancaman yang dikenal sebagai “Spearwing,” yang telah mengumpulkan ratusan korban sejak 2023; Hampir 400, pada kenyataannya, telah terdaftar di situs bocornya.
Tuntutan tebusan saat menggunakan ransomware Medusa berkisar dari $ 100.000 hingga $ 15 juta, menurut tim pemburu ancaman Symantec.
Para peneliti Symantec percaya bahwa Spearwing memanfaatkan kesenjangan terbuka lebar di ruang ransomware dengan penurunan kelompok seperti Noberus Dan Lockbitingin sekali membuat nama untuk dirinya sendiri dengan aktivitasnya yang terus menerus.
Spearwing dan afiliasinya beroperasi seperti yang dilakukan banyak operator ransomware: melakukan serangan pemerasan ganda dan mencuri data sebelum mengenkripsi jaringan untuk menambah tekanan kepada korban untuk pembayaran tebusan.
Kelompok ini mendapatkan akses ke jaringan korbannya dengan mengeksploitasi kerentanan yang tidak ditandingi dalam aplikasi yang menghadap publik, terutama Server Microsoft Exchange. Setelah mendapatkan akses ke jaringan korban, para penyerang biasanya menggunakan manajemen jarak jauh dan perangkat lunak pemantauan untuk mengunduh berbagai alat untuk gerakan lateral, termasuk AnyDesk, Killavdriver, Killav, Mesh Agent, Navicat, Netscan, PDQ Deploy, PDQ Inventory, SimpleHelp, RCLone, dan Robocopy.
Setelah ekstensi .medusa ditambahkan ke file terenkripsi, catatan tebusan bernama “! Read_me_medusa !!!. TXT” dijatuhkan ke mesin terenkripsi. Tuntutan tebusan tombak bervariasi tergantung pada korban, yang biasanya diberikan 10 hari untuk membayar dengan tambahan $ 10.000 ditambahkan ke total per hari jika batas waktu diperpanjang. Jika tebusan tidak dibayar, data curian diterbitkan ke situs kebocoran grup.
Apakah Spearwing geng Raas?
Para peneliti memang memiliki beberapa pertanyaan tentang operasi Spearwing.
“Konsistensi TTP yang digunakan dalam serangan Medusa memang menimbulkan pertanyaan apakah Spearwing benar -benar beroperasi sebagai Raas, ” mencatat para peneliti. Konsistensi dalam taktik yang digunakan dapat menunjukkan beberapa hal, seperti kelompok yang melakukan serangan dan mengembangkan ransomware itu sendiri, atau geng hanya bekerja dengan sejumlah kecil afiliasi. Bisa juga bahwa Spearwing memberikan afiliasi dengan ransomware serta buku pedoman tentang bagaimana serangan dilakukan dan rantai serangan apa yang digunakan, kata para peneliti.
Salah satu dari teori -teori ini bisa masuk akal, tetapi satu hal yang tetap pasti adalah bahwa kelompok “tidak harus beroperasi sebagai RAA 'khas' yang bekerja dengan banyak afiliasi yang dapat menggunakan TTP yang bervariasi,” mereka menyimpulkan.
