Google Ungkap Kaitan Broker Akses Awal dan Conti Ransomware

Google Ungkap Kaitan Conti Ransomware - Threat Analysis Group (TAG) Google mengungkapkan hubungan broker akses awal dengan kelompok cybercrime Rusia yang terkenal dengan Conti Ransomware dan Diavol Ransomware.

Dikenal dengan nama Exotic Lily, pelaku ancaman yang didorong oleh motif keuangan ini terlihat mengeksploitasi critical flaws yang kini telah dipatch di Microsoft Windows MSHTML Platform (CVE-2021-40444). Mereka menjalankan operasi phishing yang melibatkan pengiriman email ≥5.000/hari berisi proposal bisnis ke 650 perusahaan yang menjadi target di seluruh dunia.

Menurut peneliti TAG Vlad Stolyarov dan Vlad Stolyarov, "Broker akses awal adalah tukang kunci oportunistik dalam dunia keamanan. Kelompok-kelompok ini ahli dalam membobol target untuk membuka pintu bagi aktor jahat dengan tawaran tertinggi."

Exotic Lily, yang ditemukan pada September 2021, diduga terlibat dalam eksfiltrasi data dan penyebaran Conti Ransomware dan Diavol Ransomware yang dioperasikan oleh manusia. Keduanya juga terkait dengan sindikat cybercrime Rusia yang dikenal sebagai Wizard Spider, yang bertanggung jawab atas TrickBot, BazarBackdoor, dan Anchor.

Analisa Serangan Exotic Lily

Upaya social engineering dari pelaku ancaman ini, dikirim melalui akun email palsu yang menargetkan sektor IT, keamanan siber, dan kesehatan. Namun, serangan mereka mulai menjadi lebih acak pada November 2021, menargetkan berbagai bisnis dan industri.

Baca Juga: Cara Mengatasi Social Engineering

Exotic Lily menggunakan website file sharing seperti WeTransfer, TransferNow, dan OneDrive untuk mengirim BazarBackdoor. Ini dilakukan untuk menghindari deteksi sistem, sekaligus memanfaatkan perusahaan dan identitas palsu guna membangun kepercayaan dengan target.

Identitas palsu sering kali menyamar sebagai pekerja perusahaan seperti Amazon, dengan profil media sosial palsu di LinkedIn dan gambar profil yang dibuat oleh Artificial Intelligence (AI). Pelaku ancaman ini juga disinyalir menyamar sebagai karyawan perusahaan.

"Pada tahap akhir, penyerang akan mengunggah payload ke website file sharing (TransferNow, TransferXL, WeTransfer, atau OneDrive) dan kemudian menggunakan fitur pemberitahuan email bawaan untuk membagikan file dengan target. Hal ini memungkinkan email terakhir berasal dari alamat email layanan berbagi file yang sah, bukan dari alamat email penyerang, sehingga menimbulkan tantangan deteksi tambahan," kata para peneliti.

Bumblebee, sejenis payload khusus yang juga dikirim melalui eksploitasi MHTML. Ini dirancang untuk mengumpulkan dan mengekstrak informasi sistem ke server jarak jauh. Server tersebut merespons dengan arahan untuk mengeksekusi shellcode dan memulai executable tahap berikutnya, termasuk Cobalt Strike.

Pemeriksaan aktivitas komunikasi Exotic Lily mengungkap bahwa pelaku ancaman ini melakukan "pekerjaan normal dari jam 9 sampai jam 5" pada hari kerja dan kemungkinan berbasis di Eropa Tengah atau Timur.

"EXOTIC LILY tampaknya beroperasi sebagai kelompok terpisah, fokus utamanya adalah mendapatkan akses awal melalui operasi email. Operasi lanjutan, seperti penyebaran Conti Ransomware dan Diavol Ransomware, dijalankan oleh kelompok yang berbeda," ucap para peneliti.