Jakarta, PCplus – Kaspersky telah melakukan penelitian tentang aktivitas kelompok ransomware terkenal yang disebut Cuba. Kelompok ini menyebarkan malware yang bisa mengelabui deteksi tingkat tinggi, dan menyerang organisasi di seluruh dunia. Ia meninggalkan bekas di beberapa perusahaan yang telah diserang di berbagai bidang.
Baca Juga: Waspadalah, Cryptolocker Siap Sandera Data Android-mu
Pada bulan Desember 2022, ada kejadian mencurigakan pada sistem klien Kaspersky. Perusahaan keamanan asal Rusia ini menemukan tiga file yang meragukan. File-file ini memicu serangkaian aksi yang mengarah pada pemuatan komar65 library, yang juga dikenal sebagai BUGHATCH. BUGHATCH adalah backdoor canggih yang diimplementasikan dalam memori proses. Ia menjalankan blok kode shell yang tertanam dalam ruang memori yang dialokasikannya menggunakan Windows API, yang mencakup berbagai fungsi.
Selanjutnya, ia terhubung ke server Command and Control (C2), dan menunggu instruksi lebih lanjut. Ia bisa menerima perintah untuk mengunduh perangkat lunak seperti Cobalt Strike Beacon dan Metasploit. Penggunaan Veeamp dalam serangan ini menunjukkan keterlibatan Cuba. Yang menarik, file PDB merujuk pada folder “komar”, yang merupakan kata dalam bahasa Rusia untuk “nyamuk”, yang menunjukkan kemungkinan adanya anggota berbahasa Rusia dalam kelompok ini.
Melindungi diri dengan canggih
Analisis lebih lanjut oleh Kaspersky mengungkap modul tambahan yang didistribusikan oleh kelompok Cuba, yang meningkatkan fungsionalitas malware tersebut. Salah satu modul tersebut bertugas untuk mengumpulkan informasi sistem, yang kemudian dikirim ke server melalui permintaan HTTP POST. Melanjutkan penyelidikannya, Kaspersky menemukan sampel malware baru yang terkait dengan kelompok Cuba di VirusTotal. Beberapa dari sampel ini berhasil lolos dari deteksi oleh vendor keamanan lainnya. Sampel ini merupakan versi baru dari malware BURNTCIGAR, yang menggunakan data terenkripsi untuk menghindari deteksi antivirus.
“Temuan terbaru kami menekankan pentingnya akses terhadap laporan terkini dan intelijen ancaman. Ketika kelompok ransomware seperti Cuba berevolusi dan menyempurnakan taktik mereka, tetap berada di depan sangatlah penting untuk mengurangi risiko serangan. Dengan lanskap ancaman siber yang terus berubah, wawasan dan pengetahuan adalah pertahanan utama melawan kemunculan penjahat siber,” kata Gleb Ivanov, pakar keamanan siber di Kaspersky.
Diduga dibuat oleh kelompok Rusia
Cuba adalah jenis ransomware file tunggal yang sulit dideteksi karena beroperasi tanpa perpustakaan tambahan. Kelompok berbahasa Rusia ini dikenal karena jangkauannya yang luas dan menargetkan industri seperti ritel, keuangan, logistik, pemerintahan, dan manufaktur di Amerika Utara, Eropa, Oseania, dan Asia. Mereka menggunakan kombinasi alat publik dan pribadi, memperbarui perangkat mereka secara teratur dan menggunakan taktik seperti BYOVD (Bring Your Own Vulnerable Driver).
Ciri khas dari operasi mereka adalah mengubah cap waktu kompilasi untuk menyesatkan penyelidik. Misalnya, beberapa sampel yang ditemukan pada tahun 2020 memiliki tanggal kompilasi 4 Juni 2020. Sedangkan cap waktu pada versi yang lebih baru ditampilkan berasal dari 19 Juni 1992. Pendekatan unik mereka tidak hanya melibatkan enkripsi data. Tetapi juga menyesuaikan serangan untuk mengekstrak data informasi sensitif, seperti: dokumen keuangan, catatan bank, rekening perusahaan, dan kode sumber.
Kaspersky menyarankan organisasi untuk mengikuti praktik terbaik berikut ini untuk melindungi organisasi dari ransomware:
- Selalu perbarui perangkat lunak di semua perangkat yang digunakan agar penyerang tidak bisa memanfaatkan celah keamanan dan menyusup ke jaringan.
- Fokuskan strategi pertahanan untuk mendeteksi perpindahan lateral dan pencurian data ke internet. Beri perhatian khusus pada lalu lintas keluar untuk mengenali koneksi penjahat siber ke jaringan. Siapkan cadangan offline yang tidak bisa dirusak oleh penyusup. Pastikan kamu bisa mengaksesnya dengan cepat saat dibutuhkan atau dalam keadaan darurat.
- Aktifkan perlindungan ransomware untuk semua titik akhir. Ada Kaspersky Anti-Ransomware Tool for Business gratis yang melindungi komputer dan server dari ransomware dan jenis malware lainnya, mencegah eksploitasi, dan kompatibel dengan solusi keamanan yang sudah terpasang.
- Pasang solusi anti-APT dan EDR, yang memberikan kemampuan penemuan dan deteksi ancaman tingkat lanjut, investigasi, dan remediasi insiden secara tepat waktu. Beri tim SO kamu akses ke intelijen ancaman terbaru dan tingkatkan keterampilan mereka secara rutin dengan pelatihan profesional. Semua hal ini tersedia dalam kerangka Kaspersky Expert Security.
Comments
Loading…