Peneliti Mengungkap Cara Kerja Bagian Dalam Geng Cybercrime Laba-laba Penyihir Miliaran Dolar

Peneliti Mengungkap Cara Kerja Bagian Dalam Geng Cybercrime Laba-laba Penyihir Miliaran Dolar

Cara kerja kelompok penjahat dunia maya yang dikenal sebagai Laba-laba Penyihir telah terungkap, menjelaskan struktur organisasi dan motivasinya.

“Sebagian besar upaya Wizard Spider digunakan untuk meretas bisnis Eropa dan AS, dengan alat peretas khusus yang digunakan oleh beberapa penyerang mereka untuk menembus target bernilai tinggi,” kata perusahaan keamanan siber Swiss PRODAFT dalam laporan baru yang dibagikan kepada The Hacker News. “Sebagian uang yang mereka dapatkan dimasukkan kembali ke dalam proyek untuk mengembangkan alat dan bakat baru.”

Wizard Spider, juga dikenal sebagai Gold Blackburn, diyakini beroperasi di luar Rusia dan mengacu pada aktor ancaman bermotivasi finansial yang telah dikaitkan dengan botnet TrickBot, malware modular yang secara resmi dihentikan awal tahun ini demi peningkatan malware seperti BazarBackdoor .

Itu tidak semua. Operator TrickBot juga telah bekerja sama secara ekstensif dengan Conti, kelompok kejahatan dunia maya lain yang terkait dengan Rusia yang terkenal karena menawarkan paket ransomware sebagai layanan kepada afiliasinya.

Gold Ulrick (alias Grim Spider), sebagai kelompok yang bertanggung jawab atas distribusi ransomware Conti (sebelumnya Ryuk), secara historis memanfaatkan akses awal yang disediakan oleh TrickBot untuk menyebarkan ransomware ke jaringan yang ditargetkan.

“Gold Ulrick terdiri dari beberapa atau semua operator yang sama dengan Gold Blackburn, kelompok ancaman yang bertanggung jawab atas distribusi malware seperti TrickBot, BazarLoader dan Beur Loader,” perusahaan keamanan siber Secureworks mencatat dalam profil sindikat kejahatan siber.

encryption

Menyatakan bahwa kelompok tersebut “mampu memonetisasi berbagai aspek operasinya,” PRODAFT menekankan kemampuan musuh untuk memperluas perusahaan kriminalnya, yang katanya dimungkinkan oleh “profitabilitas luar biasa” geng itu.

Related Post :   Peretas Mengeksploitasi Kerentanan Zero-Day Pertemuan Atlassian Kritis yang Belum Ditambal

Rantai serangan khas yang melibatkan kelompok dimulai dengan kampanye spam yang mendistribusikan malware seperti Qakbot (alias QBot) dan SystemBC, menggunakannya sebagai landasan peluncuran untuk menjatuhkan alat tambahan, termasuk Cobalt Strike untuk gerakan lateral, sebelum menjalankan perangkat lunak loker.

Selain memanfaatkan banyak utilitas untuk pencurian kredensial dan pengintaian, Wizard Spider diketahui menggunakan toolkit eksploitasi yang memanfaatkan kerentanan keamanan yang diketahui seperti Log4Shell untuk mendapatkan pijakan awal ke jaringan korban.

Keamanan cyber

Juga digunakan adalah stasiun cracking yang menghosting hash retak yang terkait dengan kredensial domain, tiket Kerberos, dan file KeePass, antara lain.

Terlebih lagi, grup tersebut telah berinvestasi dalam pengaturan VoIP khusus di mana operator telepon sewaan menelepon korban non-responsif dalam upaya untuk memberikan tekanan tambahan dan memaksa mereka untuk membayar setelah serangan ransomware.

Ini bukan pertama kalinya kelompok tersebut menggunakan taktik seperti itu. Tahun lalu, Microsoft merinci kampanye BazarLoader yang dijuluki BazaCall yang menggunakan pusat panggilan palsu untuk memikat korban yang tidak menaruh curiga agar menginstal ransomware di sistem mereka.

“Grup ini memiliki sejumlah besar perangkat yang disusupi dan menggunakan alur kerja profesional yang sangat terdistribusi untuk menjaga keamanan dan tempo operasional yang tinggi,” kata para peneliti.

“Ini bertanggung jawab atas spam dalam jumlah besar di ratusan juta juta perangkat, serta pelanggaran data terkonsentrasi dan serangan ransomware pada target bernilai tinggi.”

Related Post :   Kumpulan Aplikasi Android Berisi Trojan Joker Lainnya Muncul Kembali di Google Play Store


Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.