Kelompok peretas yang terkait dengan Korea Utara telah terlibat dalam insiden terbaru yang menggunakan ransomware terkenal bernama Play, menunjukkan motivasi keuangan yang semakin kuat.
Aktivitas ini, yang diamati antara Mei dan September 2024, dikaitkan dengan aktor ancaman yang dilacak sebagai Jumpy Pisces, juga dikenal sebagai Andariel, APT45, DarkSeoul, Nickel Hyatt, Onyx Sleet (sebelumnya Plutonium), Operation Troy, Silent Chollima, dan Stonefly.
“Kami percaya dengan tingkat kepercayaan moderat bahwa Jumpy Pisces, atau faksi dari kelompok ini, kini bekerja sama dengan grup ransomware Play,” kata Palo Alto Networks Unit 42 dalam laporan baru yang diterbitkan hari ini.
“Insiden ini penting karena menandai kolaborasi pertama yang tercatat antara kelompok Jumpy Pisces yang disponsori negara Korea Utara dan jaringan ransomware bawah tanah.”
Andariel, yang aktif sejak setidaknya 2009, berafiliasi dengan Biro Rekognisi Umum (RGB) Korea Utara. Sebelumnya, kelompok ini telah terlibat dalam penyebaran strain ransomware lainnya seperti SHATTEREDGLASS dan Maui.
Pada awal bulan ini, Symantec, bagian dari Broadcom, melaporkan bahwa tiga organisasi berbeda di AS menjadi target kelompok peretas ini pada Agustus 2024 sebagai bagian dari serangan yang kemungkinan bermotif keuangan, meskipun tidak ada ransomware yang dikerahkan di jaringan mereka.
Sementara itu, Play adalah operasi ransomware yang diyakini telah memengaruhi sekitar 300 organisasi hingga Oktober 2023. Play juga dikenal dengan nama Balloonfly, Fiddling Scorpius, dan PlayCrypt.
Meskipun perusahaan keamanan siber Adlumin mengungkapkan akhir tahun lalu bahwa operasi ini mungkin telah beralih ke model ransomware-as-a-service (RaaS), para aktor ancaman di balik Play mengumumkan di situs dark web mereka bahwa hal ini tidak benar.
Dalam insiden yang diselidiki oleh Unit 42, Andariel diyakini mendapatkan akses awal melalui akun pengguna yang terkompromi pada Mei 2024, diikuti dengan pergerakan lateral dan aktivitas persistensi menggunakan framework command-and-control (C2) Sliver dan backdoor khusus bernama Dtrack (juga dikenal sebagai Valefor dan Preft).
“Alat-alat jarak jauh ini terus berkomunikasi dengan server C2 mereka hingga awal September,” kata Unit 42. “Ini akhirnya mengarah pada penyebaran ransomware Play.”
Sebelum penyebaran ransomware, seorang aktor ancaman yang tidak teridentifikasi menyusup ke jaringan dengan akun pengguna yang sama, lalu melakukan pengumpulan kredensial, eskalasi hak istimewa, dan penghapusan sensor deteksi dan respons endpoint (EDR), yang merupakan ciri khas aktivitas pra-ransomware.
Sebagai bagian dari serangan ini, juga digunakan binary yang ditrojanisasi yang mampu mengumpulkan riwayat browser, informasi auto-fill, dan detail kartu kredit untuk browser Google Chrome, Microsoft Edge, dan Brave.
Selain penggunaan akun pengguna yang sama oleh Andariel dan Play, hubungan antara kedua kelompok ini didasarkan pada fakta bahwa komunikasi dengan server Sliver C2 (172.96.137[.]224) berlangsung hingga sehari sebelum penyebaran ransomware. Alamat IP C2 ini telah offline sejak hari penyebaran tersebut.
Unit 42 menginformasikan pada The Hacker News bahwa insiden ransomware ini memiliki beberapa kesamaan dalam hal alat, infrastruktur, pemilihan target, dan timeline dengan serangan yang diungkapkan oleh Symantec. Yang menjadi sorotan adalah alamat IP Sliver C2, yang diidentifikasi Symantec digunakan bersama dengan utilitas koneksi command-line Plink.
“Kami mengamati bahwa aktor ancaman menggunakan alamat IP 172.96.137[.]224 terutama untuk aktivitas Sliver C2,” kata Navin Thomas, peneliti ancaman di Unit 42.
“Meski begitu, alamat IP ini digunakan untuk berbagai tujuan, dengan beberapa port terbuka yang melayani fungsi berbeda, termasuk Sliver, layanan web untuk distribusi alat, dan layanan SSH. Namun, kami tidak dapat memverifikasi penggunaan Plink dari IP ini dalam penyelidikan kami.”
Terlepas dari sifat pasti kolaborasi antara kedua kelompok ancaman ini, perkembangan ini menandakan bahwa aktor ancaman Korea Utara dapat melakukan serangan ransomware yang lebih luas di masa depan untuk menghindari sanksi dan menghasilkan pendapatan bagi negara yang kekurangan dana tersebut.
“Masih belum jelas apakah Jumpy Pisces telah resmi menjadi afiliasi Play ransomware atau mereka hanya bertindak sebagai broker akses awal (IAB) dengan menjual akses jaringan kepada aktor Play ransomware,” simpul Unit 42. “Jika Play ransomware tidak menyediakan ekosistem RaaS seperti yang diklaim, Jumpy Pisces mungkin hanya bertindak sebagai IAB.”
#Lindungi Data!
Sebagai perusahaan yang berkomitmen untuk membuat dunia digital yang lebih baik, PT Digital Solusi Grup mengajak Anda untuk selalu menjaga keamanan perangkat dan data Anda. Hubungi tim ahli kami di bidang cyber security untuk konsultasi lebih lanjut dan layanan perlindungan menyeluruh. Bersama kami, amankan bisnis Anda dari ancaman siber yang terus berkembang. Lindungi, Aman, dan Sukses bersama PT Digital Solusi Grup!
Referensi:
North Korean Group Collaborates with Play Ransomware in Significant Cyber Attack, The Hacker News.
Baca Juga : Malware Infostealer Berhasil Melewati Perlindungan Cookie Chrome untuk Mencuri Data