Laporan BlackBerry menyoroti broker akses awal yang menyediakan akses ke geng ransomware StrongPity APT, MountLocker, dan Phobos
Security

Laporan BlackBerry menyoroti broker akses awal yang menyediakan akses ke geng ransomware StrongPity APT, MountLocker, dan Phobos

Sebuah laporan baru dari BlackBerry telah mengungkap broker akses awal yang disebut “Zebra2104” yang memiliki koneksi ke tiga kelompok penjahat dunia maya berbahaya, beberapa di antaranya terlibat dalam ransomware dan phishing.

Tim Riset & Intelijen BlackBerry menemukan bahwa Zebra2104 menyediakan titik masuk ke grup ransomware seperti MountLocker dan Phobos serta StrongPity APT. Akses tersebut diberikan kepada sejumlah perusahaan di Australia dan Turki yang telah dibobol.

StrongPity APT menargetkan bisnis Turki di bidang perawatan kesehatan serta perusahaan kecil. BlackBerry mengatakan bahwa dari penelitian mereka, mereka percaya bahwa broker akses “memiliki banyak tenaga kerja atau mereka telah memasang beberapa jebakan besar ‘tersembunyi di depan mata’ di internet.”

Laporan itu mengatakan penyelidikan mereka membuat mereka percaya bahwa kelompok ransomware MountLocker telah bekerja dengan StrongPity, sebuah kelompok APT yang berasal dari tahun 2012 yang beberapa diduga adalah kelompok yang disponsori negara Turki.

zebra2104-fig08.png

Negara diserang oleh StrongPity.

BlackBerry

“Meskipun mungkin tampak tidak masuk akal bagi kelompok kriminal untuk berbagi sumber daya, kami menemukan kelompok-kelompok ini memiliki koneksi yang diaktifkan oleh yang keempat; aktor ancaman yang kami juluki Zebra2104, yang kami yakini sebagai Pialang Akses Awal (IAB). tidak diragukan lagi benar-benar tumpah ruah dari kelompok-kelompok ancaman yang bekerja sama, jauh melampaui yang disebutkan di blog ini,” kata para peneliti, mencatat bahwa mereka menemukan kelompok itu saat melakukan penelitian untuk sebuah buku tentang intelijen ancaman dunia maya.

“Domain tunggal ini membawa kami ke jalur di mana kami akan mengungkap beberapa serangan ransomware, dan perintah-dan-kontrol APT (C2). Jalur ini juga mengungkapkan apa yang kami yakini sebagai infrastruktur IAB — Zebra2104. IAB biasanya memperoleh masuk ke jaringan korban kemudian menjual akses itu ke penawar tertinggi di forum bawah tanah yang terletak di dark web. Nanti, penawar yang menang akan menyebarkan ransomware dan/atau malware bermotivasi finansial lainnya di dalam organisasi korban, tergantung pada tujuan kampanye mereka. ”

Penelitian mereka dimulai pada April 2021, ketika mereka menemukan perilaku aneh dari domain yang diidentifikasi sebelumnya dalam laporan Microsoft di server yang “telah melayani malspam yang mengakibatkan berbagai muatan ransomware, seperti Dridex, yang dapat kami buktikan.”

Beberapa domain telah terlibat dalam kampanye phishing yang mengincar departemen pemerintah negara bagian di Australia serta perusahaan real estat di sana pada September 2020. Dengan bantuan laporan Microsoft lainnya, para peneliti dapat melacak kampanye lebih jauh ke indikator kompromi intrusi MountLocker.

“Sophos menduga bahwa grup MountLocker memiliki tautan ke, atau bahkan menjadi, grup AstroLocker yang baru muncul. Ini karena salah satu binari ransomware grup telah ditautkan ke situs dukungan AstroLocker. Ada kemungkinan grup ini mencoba untuk melepaskan ketenaran atau beban yang telah dikumpulkan melalui kegiatan jahat sebelumnya,” tambah laporan itu setelah menjelaskan sejumlah hubungan teknis antara kedua kelompok.

Tim Riset & Intelijen BlackBerry kemudian menggunakan informasi pendaftar WHOIS dan data lain yang mengarahkan mereka untuk menemukan hubungan antara ransomware Phobos dan MountLocker.

“Informasi baru ini menghadirkan sedikit teka-teki. Jika MountLocker memiliki infrastruktur, maka akan ada kemungkinan kecil operator ransomware lain juga bekerja darinya (walaupun pernah terjadi sebelumnya). Dalam beberapa kasus, penundaan diamati antara satu kompromi awal menggunakan Cobalt Strike dan ransomware selanjutnya dikerahkan. Berdasarkan faktor-faktor ini, kami dapat menyimpulkan bahwa infrastrukturnya bukan milik StrongPity, MountLocker, atau Phobos, tetapi dari kelompok keempat yang telah memfasilitasi operasi dari tiga yang sebelumnya. Ini adalah baik dilakukan dengan memberikan akses awal, atau dengan menyediakan Infrastructure as a Service (IaaS),” kata laporan itu.

“IAB melakukan langkah pertama dalam rantai pembunuhan dari banyak serangan; ini berarti mereka mendapatkan akses ke jaringan korban melalui eksploitasi, phishing, atau cara lain. Setelah mereka membangun pijakan (yaitu, pintu belakang yang andal ke jaringan korban) mereka kemudian mendaftarkan akses mereka di forum bawah tanah di web gelap, mengiklankan barang dagangan mereka dengan harapan menemukan calon pembeli. Harga untuk akses berkisar mulai dari $25, naik hingga ribuan dolar.”

Banyak IAB mendasarkan harga mereka pada pendapatan tahunan yang dihasilkan oleh organisasi korban, menciptakan sistem penawaran yang memungkinkan grup mana pun untuk menerapkan apa pun yang mereka inginkan.

zebra2104-fig12.png

BlackBerry

“Ini bisa apa saja mulai dari ransomware hingga infostealer, dan segala sesuatu di antaranya. Kami percaya bahwa tiga pelaku ancaman kami – MountLocker, Phobos, dan StrongPity, dalam hal ini – mendapatkan akses mereka melalui cara-cara ini,” jelas tim Riset & Intelijen BlackBerry.

Laporan tersebut mencatat bahwa domain diselesaikan ke IP yang disediakan oleh ASN Bulgaria yang sama, Neterra LTD. Sementara mereka bertanya-tanya apakah broker akses berbasis di Bulgaria, mereka menduga bahwa perusahaan itu hanya dimanfaatkan.

Para peneliti mengatakan “jaringan infrastruktur berbahaya yang saling terkait” yang dijelaskan di seluruh laporan menunjukkan bahwa kelompok penjahat dunia maya mencerminkan dunia bisnis karena mereka dijalankan seperti perusahaan multinasional.

“Mereka menciptakan kemitraan dan aliansi untuk membantu memajukan tujuan jahat mereka. Jika ada, aman untuk berasumsi bahwa ‘kemitraan bisnis’ ini akan menjadi lebih lazim di masa depan,” kata para peneliti.

“Untuk mengatasi ini, hanya melalui pelacakan, pendokumentasian, dan pembagian intelijen terkait dengan kelompok-kelompok ini (dan banyak lagi) komunitas keamanan yang lebih luas dapat memantau dan membela mereka. Kerja sama ini akan terus memajukan pemahaman kolektif kita tentang bagaimana penjahat dunia maya beroperasi. Jika orang jahat bekerja sama, kita juga harus!”

Posted By : togel hari ini hongkong