ARA-GEN - Federal Bureau of Investigation (FBI) memiliki bukti lengkap yang menjelaskan hubungan antara ransomware baru Diavol dengan TrickBot Group, geng ransomware produktif di balik trojan perbankan eponymous.
Diavol masuk radar para peneliti pada pertengahan tahun 2021 ketika perusahaan keamanan siber Fortinet menerbitkan analisis teknis tentang Diavol, yang mengaitkannya dengan Wizard Spider, nama lain untuk Trickbot Group, yang juga telah dilacak oleh para peneliti sehubungan dengan ransomware Ryuk.
Ransomware Ryuk secara selektif dikerahkan untuk menyerang target bernilai tinggi yang menjadi sasaran pemerasan ganda, di mana data mereka dienkripsi, dicuri, dan kemudian berpotensi dibocorkan kecuali korban membayar uang tebusan.
Alat Trickbot termasuk backdoor Anchor_DNS, alat untuk mentransmisikan data antara mesin korban dan server yang dikendalikan Trickbot menggunakan tunneling Domain Name System (DNS) untuk menyembunyikan traffic berbahaya dengan lalu lintas DNS normal.
FBI telah memantau Ransomware Diavol sejak Oktober tahun lalu. Kaitan antara Diavol dan Trickbot adalah bahwa pengidentifikasi bot unik (Bot ID) yang dihasilkan oleh Diavol untuk setiap korban "hampir identik" dengan format yang digunakan oleh malware Trickbot dan Anchor_DNS. Setelah ID Bot dibuat oleh Diavol, file pada mesin itu dienkripsi dan ditambahkan dengan ekstensi file ".lock64" dan mesin menampilkan pesan permintaan tebusan.
"Diavol dikaitkan dengan pengembang dari Grup Trickbot, yang bertanggung jawab atas Trojan Perbankan Trickbot," kata FBI, [Kami] memperingatkan bahwa mereka telah melihat permintaan uang tebusan hingga US$ 500 ribu atau setara Rp7,1 miliar.
Tidak seperti Ransomware Ryuk, FBI belum melihat Diavol membocorkan data korban, meskipun pesan kelompok tersebut berisi ancaman untuk melakukannya.
Catatan pesan tebusan Diavol menyatakan:
"Pertimbangkan bahwa kami juga telah mengunduh data dari jaringan Anda. Bahwa dalam hal tidak melakukan pembayaran, akan dipublikasikan di situs web berita kami."
"Diavol mengenkripsi file hanya menggunakan kunci enkripsi RSA, dan kodenya mampu memprioritaskan jenis file untuk dienkripsi berdasarkan daftar ekstensi yang telah dikonfigurasi sebelumnya yang ditentukan oleh penyerang," kata FBI seperti dilansir ZDnet. Jumat, 21 Januari 2022.
"Sementara tuntutan tebusan bertaraf antara US$10.000 hingga US$500.000, aktor di balik ransomware Diavol telah bersedia melibatkan korban dalam negosiasi tebusan dan menerima pembayaran yang lebih rendah."
Meskipun FBI mengakui beberapa korban telah menegosiasikan uang tebusan dengan operator Diavol, kesepakatan masih terhambat karena tidak menjamin file akan dipulihkan. FBI juga menyarakan untuk tidak membayar permintaan uang tebusan karena membuat penyerang makin berani untuk melakukan serangan serupa di masa depan.
"FBI memahami bahwa ketika korban dihadapkan pada ketidakmampuan untuk membuat sistemnya berfungsi, semua opsi dievaluasi untuk melindungi pemegang saham, karyawan, dan pelanggan. FBI mungkin dapat memberikan sumber daya mitigasi ancaman kepada mereka yang terkena dampak ransomware Diavol," katanya.
FBI juga meminta organisasi korban untuk berbagi dengannya "log batas yang menunjukkan komunikasi ke dan dari alamat IP asing, informasi dompet Bitcoin, file dekripsi, dan/atau sampel file terenkripsi yang tidak berbahaya."
Tetapi menyediakan sumber daya mitigasi berbeda dengan membantu memulihkan dana yang dibayarkan. Dalam kasus Colonial Pipeline, FBI dan Departemen Kehakiman memulihkan sekitar setengah dari dana yang diperas dengan menggunakan buku besar publik Bitcoin untuk melacak pembayaran kembali ke "alamat tertentu, di mana FBI memiliki "kunci pribadi", atau secara kasar setara dengan kata sandi yang diperlukan untuk mengakses aset yang dapat diakses dari alamat Bitcoin tertentu."
Tetapi tidak di setiap organisasi korban adalah penyedia infrastruktur penting yang menarik perhatian Gedung Putih atau White House, yang sejak itu meminta Kremlin untuk mengambil tindakan terhadap serangan ransomware yang berlokasi di Rusia. Pihak berwenang Rusia minggu lalu melakukan serangan langka terhadap anggota REvil, yang memiliki hubungan dengan DarkSide.
Baca juga: Serangan Langka FSB [Intelijen] Rusia Habisi Geng Ransomware REvil
Temukan artikel atau berita tentang keamanan siber lainnya disini, Bagikan artikel ini jika dirasa perlu, ikuti kami di Facebook dan LinkedIn, terima kasih.
Posting Komentar