SuaraSekitar Terkini Kumpulan Berita dan Informasi dari berbagai sumber yang terpercaya
Daftar Isi
grup, yang setelah gagal secara langsung
enkripsi file korban mereka, menyalinnya ke arsip yang dilindungi kata sandi, sebelum mengenkripsi kata sandi, dan menghapus file asli.
Berbagi wawasan tentang pelaku ancaman, yang mengidentifikasi dirinya sebagai “Tim Memento,” Sean Gallagher dari Tim Respon Cepat MTR Sophos menulis bahwa operator menggunakan versi freeware yang diganti namanya kompresi file yang sah
kegunaan WinRAR.
“Ini adalah retooling oleh pelaku ransomware, yang awalnya mencoba untuk mengenkripsi file secara langsung—tetapi dihentikan oleh perlindungan titik akhir . Setelah gagal pada percobaan pertama, mereka mengubah taktik, dan kembali dikerahkan,” catatan Gallagher.
Setelah mengenkripsi file, geng menuntut $ 1 juta untuk mengembalikan file, dan seperti yang umum di antara operator ransomware, mengancam akan mengekspos data korban jika mereka menolak untuk membayar uang tebusan.
Terpencil
Para peneliti percaya bahwa pelaku ancaman pertama kali masuk ke jaringan korban mereka dengan mengeksploitasi kelemahan di Klien web vCenter Server VMware
, kadang antara April dan Mei.Mereka kemudian menunggu hingga Oktober untuk menyebarkan ransomware mereka. Menariknya, Sophos mencatat bahwa sementara Tim Memento sedang merenungkan langkah mereka selanjutnya, setidaknya dua penyusup yang berbeda mengeksploitasi kerentanan vCenter yang sama untuk dijatuhkan cryptominers ke server yang disusupi.
Adapun ransomware Tim Memento itu sendiri, Gallagher mencatat bahwa itu ditulis dalam
Python 3.9 dan dikompilasi dengan
PyInstaller
. Meskipun mereka tidak dapat mendekompilasinya sepenuhnya, para peneliti dapat memecahkan kode yang cukup untuk memahami cara kerjanya.
Selain itu, penyerang juga mengerahkan sumber terbuka Berbasis Python keylogger pada beberapa mesin, karena mereka bergerak secara lateral dalam jaringan dengan bantuan Desktop Jarak Jauh Protokol (RDP).Sophos menambahkan bahwa catatan tebusan penyerang mengambil inspirasi dari yang digunakan oleh REvil, dan meminta para korban untuk menghubungi melalui utusan Telegram. Semua itu sia-sia karena korban menolak untuk terlibat dengan pelaku ancaman dan memulihkan sebagian besar data mereka berkat
cadangan .
Namun, Sophos menambahkan bahwa serangan itu sekali lagi menyoroti fakta bahwa aktor ancaman selalu mencari untuk mengeksploitasi kelemahan apa pun yang ditunjukkan oleh admin untuk
tambalan server mereka.
“Pada saat kompromi awal, kerentanan vCenter telah dipublikasikan selama hampir dua bulan, dan tetap dapat dieksploitasi hingga hari server dienkripsi oleh ransomware penyerang,” kata Sophos, dalam upayanya untuk menekankan pentingnya menerapkan patch keamanan tanpa penundaan.
Dengan hampir dua dekade menulis dan melaporkan di Linux, Mayank Sharma ingin semua orang berpikir dia TechRadar Pro
Baca selengkapnya