Pelaku Ransomware telah menemukan cara licik untuk melewati perlindungan titik akhir Anda

Pelaku Ransomware telah menemukan cara licik untuk melewati perlindungan titik akhir Anda

Ransomware Ransomware

(Kredit gambar: Shutterstock)

Peneliti keamanan siber telah menemukan ransomware

grup, yang setelah gagal secara langsung

enkripsi file korban mereka, menyalinnya ke arsip yang dilindungi kata sandi, sebelum mengenkripsi kata sandi, dan menghapus file asli.

Berbagi wawasan tentang pelaku ancaman, yang mengidentifikasi dirinya sebagai “Tim Memento,” Sean Gallagher dari Tim Respon Cepat MTR Sophos menulis bahwa operator menggunakan versi freeware yang diganti namanya kompresi file yang sah

kegunaan WinRAR.

“Ini adalah retooling oleh pelaku ransomware, yang awalnya mencoba untuk mengenkripsi file secara langsung—tetapi dihentikan oleh perlindungan titik akhir . Setelah gagal pada percobaan pertama, mereka mengubah taktik, dan kembali dikerahkan,” catatan Gallagher.

Setelah mengenkripsi file, geng menuntut $ 1 juta untuk mengembalikan file, dan seperti yang umum di antara operator ransomware, mengancam akan mengekspos data korban jika mereka menolak untuk membayar uang tebusan.

Terpencil

Para peneliti percaya bahwa pelaku ancaman pertama kali masuk ke jaringan korban mereka dengan mengeksploitasi kelemahan di Klien web vCenter Server VMware

, kadang antara April dan Mei.Mereka kemudian menunggu hingga Oktober untuk menyebarkan ransomware mereka. Menariknya, Sophos mencatat bahwa sementara Tim Memento sedang merenungkan langkah mereka selanjutnya, setidaknya dua penyusup yang berbeda mengeksploitasi kerentanan vCenter yang sama untuk dijatuhkan cryptominers ke server yang disusupi.

Adapun ransomware Tim Memento itu sendiri, Gallagher mencatat bahwa itu ditulis dalam

Python 3.9 dan dikompilasi dengan

PyInstaller

. Meskipun mereka tidak dapat mendekompilasinya sepenuhnya, para peneliti dapat memecahkan kode yang cukup untuk memahami cara kerjanya.

Selain itu, penyerang juga mengerahkan sumber terbuka Berbasis Python keylogger pada beberapa mesin, karena mereka bergerak secara lateral dalam jaringan dengan bantuan Desktop Jarak Jauh Protokol (RDP).Sophos menambahkan bahwa catatan tebusan penyerang mengambil inspirasi dari yang digunakan oleh REvil, dan meminta para korban untuk menghubungi melalui utusan Telegram. Semua itu sia-sia karena korban menolak untuk terlibat dengan pelaku ancaman dan memulihkan sebagian besar data mereka berkat

cadangan .

Namun, Sophos menambahkan bahwa serangan itu sekali lagi menyoroti fakta bahwa aktor ancaman selalu mencari untuk mengeksploitasi kelemahan apa pun yang ditunjukkan oleh admin untuk

tambalan server mereka.

“Pada saat kompromi awal, kerentanan vCenter telah dipublikasikan selama hampir dua bulan, dan tetap dapat dieksploitasi hingga hari server dienkripsi oleh ransomware penyerang,” kata Sophos, dalam upayanya untuk menekankan pentingnya menerapkan patch keamanan tanpa penundaan.Pastikan sistem Anda tetap aman dan diperbarui menggunakan salah satu dari ini alat manajemen tambalan terbaik

Mayank Sharma


Dengan hampir dua dekade menulis dan melaporkan di Linux, Mayank Sharma ingin semua orang berpikir dia TechRadar Proahli dalam topik tersebut. Tentu saja, dia juga tertarik pada topik komputasi lainnya, terutama keamanan siber, cloud, container, dan coding.


Baca selengkapnya