Peneliti keamanan siber telah merinci berbagai tindakan yang dilakukan pelaku ransomware untuk mengaburkan identitas mereka yang sebenarnya secara online serta lokasi hosting infrastruktur server web mereka.
“Sebagian besar operator ransomware menggunakan penyedia hosting di luar negara asal mereka (seperti Swedia, Jerman, dan Singapura) untuk meng-host situs operasi ransomware mereka,” kata peneliti Cisco Talos, Paul Eubanks. “Mereka menggunakan hop-point VPS sebagai proxy untuk menyembunyikan lokasi mereka yang sebenarnya ketika mereka terhubung ke infrastruktur web ransomware untuk tugas administrasi jarak jauh.”
Juga menonjol adalah penggunaan jaringan TOR dan layanan pendaftaran proxy DNS untuk memberikan lapisan anonimitas tambahan untuk operasi ilegal mereka.
Tetapi dengan mengambil keuntungan dari kesalahan langkah keamanan operasional aktor ancaman dan teknik lainnya, perusahaan keamanan siber mengungkapkan minggu lalu bahwa mereka dapat mengidentifikasi layanan tersembunyi TOR yang dihosting di alamat IP publik, beberapa di antaranya adalah infrastruktur yang sebelumnya tidak diketahui terkait dengan DarkAngels, Snatch, Quantum, dan grup ransomware Nokoyawa.
Sementara kelompok ransomware diketahui mengandalkan web gelap untuk menyembunyikan aktivitas terlarang mereka mulai dari membocorkan data curian hingga menegosiasikan pembayaran dengan korban, Talos mengungkapkan bahwa mereka dapat mengidentifikasi “alamat IP publik yang menampung infrastruktur aktor ancaman yang sama dengan yang ada di kegelapan. jaringan.”
“Metode yang kami gunakan untuk mengidentifikasi IP internet publik melibatkan pencocokan aktor ancaman. [self-signed] Nomor seri sertifikat TLS dan elemen halaman dengan yang diindeks di internet publik,” kata Eubanks.
Selain pencocokan sertifikat TLS, metode kedua yang digunakan untuk mengungkap infrastruktur web musuh yang jelas memerlukan pemeriksaan favicon yang terkait dengan situs web darknet terhadap internet publik menggunakan perayap web seperti Shodan.
Dalam kasus Nokoyawa, jenis ransomware Windows baru yang muncul awal tahun ini dan memiliki kesamaan kode yang substansial dengan Karma, situs yang dihosting di layanan tersembunyi TOR ditemukan memiliki cacat traversal direktori yang memungkinkan para peneliti untuk mengakses “/var /log/auth.log” file yang digunakan untuk menangkap login pengguna.
Temuan menunjukkan bahwa tidak hanya situs kebocoran pelaku kriminal yang dapat diakses oleh pengguna mana pun di internet, komponen infrastruktur lainnya, termasuk mengidentifikasi data server, dibiarkan terbuka, secara efektif memungkinkan untuk mendapatkan lokasi login yang digunakan untuk mengelola server ransomware.
Analisis lebih lanjut dari login pengguna root yang berhasil menunjukkan bahwa mereka berasal dari dua alamat IP 5.230.29[.]12 dan 176.119.0[.]195, yang pertama milik GHOSTnet GmbH, penyedia hosting yang menawarkan layanan Virtual Private Server (VPS).
“176.119.0[.]Namun 195 milik AS58271 yang terdaftar dengan nama Tyatkova Oksana Valerievna,” kata Eubanks. “Mungkin operator lupa menggunakan VPS berbasis Jerman untuk kebingungan dan masuk ke sesi dengan server web ini langsung dari lokasi sebenarnya di 176.119 .0[.]195.”
LockBit menambahkan program karunia bug ke operasi RaaS yang dirubah
Perkembangan ini terjadi saat operator ransomware Black Basta yang baru muncul memperluas persenjataan serangannya dengan menggunakan QakBot untuk akses awal dan pergerakan lateral, dan memanfaatkan kerentanan PrintNightmare (CVE-2021-34527) untuk melakukan operasi file yang diistimewakan.
Terlebih lagi, geng ransomware LockBit minggu lalu diumumkan rilis LockBit 3.0 dengan pesan “Jadikan Ransomware Hebat Lagi!”, selain meluncurkan program Bug Bounty mereka sendiri, menawarkan hadiah berkisar antara $1.000 dan $1 juta untuk mengidentifikasi kelemahan keamanan dan “ide brilian” untuk meningkatkan perangkat lunaknya.
“Peluncuran LockBit 3.0 dengan pengenalan program bug bounty adalah undangan resmi kepada penjahat dunia maya untuk membantu kelompok tersebut dalam usahanya untuk tetap menjadi yang teratas,” kata Satnam Narang, insinyur penelitian staf senior di Tenable, dalam sebuah pernyataan yang dibagikan. dengan The Hacker News.
“Fokus utama dari program bug bounty adalah langkah-langkah defensif: Mencegah peneliti keamanan dan penegak hukum menemukan bug di situs kebocoran atau ransomware, mengidentifikasi cara anggota termasuk bos program afiliasi dapat didox, serta menemukan bug di dalam pesan. perangkat lunak yang digunakan oleh grup untuk komunikasi internal dan jaringan Tor itu sendiri.”
“Ancaman didok atau diidentifikasi menandakan bahwa upaya penegakan hukum jelas menjadi perhatian besar bagi kelompok seperti LockBit. Akhirnya, kelompok tersebut berencana untuk menawarkan Zcash sebagai opsi pembayaran, yang signifikan, karena Zcash lebih sulit dilacak daripada Bitcoin, mempersulit peneliti untuk mengawasi aktivitas kelompok.”