Kali ini ditemukan operasi serangan ransomware yang diluncurkan oleh salah satu grup hacker besar dan dirinci oleh para peneliti keamanan siber di FireEye Mandiant, yang menggambarkan para peretas sebagai ‘grup mapan secara finansial’ yang telah melakukan beberapa operasi peretasan yang paling lama berjalan.
Dijuluki FIN11, grup ini mulai dengan memfokuskan operasi serangannya pada bank, pengecer, dan restoran, tetapi sekarang telah berkembang dengan menargetkan berbagai sektor di berbagai lokasi di seluruh dunia tanpa pandang bulu, mengirimkan ribuan email phishing dan secara bersamaan melakukan serangan terhadap beberapa organisasi pada satu waktu.
Misalnya, hanya dalam satu minggu, Mandiant mengamati operasi serentak yang menargetkan industri farmasi, shipping dan logistik di Amerika Utara dan Eropa.
Tetapi meskipun serangan menargetkan berbagai organisasi di seluruh dunia, banyak dari operasi phishing awal mereka masih disesuaikan berdasarkan target demi target untuk peluang maksimum yang memungkinkan untuk mendorong korban agar mengunduh lampiran Microsoft Office berbahaya.
Ini memulai rantai infeksi yang menciptakan banyak backdoor dalam sistem yang disusupi, serta kemampuan untuk mengambil rincian akun admin dan bergerak secara lateral melintasi jaringan.
Operasi FIN11 awalnya berkisar pada menyusup ke dalam jaringan untuk mencuri data, dengan para peneliti mencatat bahwa kelompok peretas biasanya menggunakan BlueSteal, alat yang digunakan untuk mencuri informasi perbankan dari terminal Point-of-Sale (POS).
Dengan keuangan yang menjadi fokus grup, kemungkinan FIN11 menjual informasi ini kepada penjahat siber lainnya di dark web, atau hanya memanfaatkannya untuk keuntungan dan kepentingan mereka sendiri.
Tetapi sekarang FIN11 menggunakan jaringannya yang luas sebagai sarana untuk mengirimkan ransomware ke jaringan yang mereka susupi, dengan para penyerang lebih menyukai Clop ransomware dan menuntut tebusan bitcoin untuk memulihkan jaringan.
Sederhananya, perubahan taktik ini adalah tentang menghasilkan uang sebanyak mungkin – dan ransomware telah menjadi cara yang cepat dan mudah bagi penjahat siber untuk menghasilkan uang dari berbagai target yang lebih luas.
“FIN11 kemungkinan telah mengubah metode monetisasi utama mereka ke penyebaran ransomware karena lebih menguntungkan daripada metode tradisional seperti menyebarkan malware POS,” kata Genevieve Stark, analis di Mandiant Threat Intelligence.
“Ransomware juga meningkatkan potensi kumpulan korban karena dapat digunakan di hampir semua organisasi sementara malware POS hanya efektif terhadap target tertentu,” tambahnya.
Baca Juga: “Ransomware Android Ini Akan Aktif Saat Kamu Menekan Tombol Beranda“
Berdasarkan analisis bahasa Rusia dalam file FIN11, para peneliti mengatakan bahwa operasi yang murni bermotivasi finansial ini kemungkinan besar beroperasi di salah satu Commonwealth of Independent States – dan sangat mungkin serangan ransomware ini akan terus berlanjut.
“Kami memprediksi bahwa FIN11 akan terus melakukan distribusi phishing secara luas dengan taktik yang terus berkembang di masa mendatang,” kata Stark.
Serangan yang mereka luncurkan terbilang produktif dan berhasil, tetapi organisasi dapat menghindari menjadi korban operasi FIN11 dan kelompok lain yang bermotivasi finansial dengan mengikuti saran keamanan umum dan menerapkan patch untuk mencegah penyerang menggunakan eksploitasi yang diketahui untuk mendapatkan pijakan ke dalam jaringan.
Juga dengan FIN11 dan peretas lain yang memanfaatkan makro Microsoft Office untuk menyembunyikan muatan berbahaya, disarankan agar makro dinonaktifkan agar tidak digunakan sebagai titik awal serangan.
