Beberapa waktu lalu, BleepingComputer melaporkan, bahwa geng ransomware Ragnar Locker mengancam akan secara otomatis mempublikasikan data korban yang dicuri jika mereka menghubungi penegak hukum atau firma negosiasi.
Geng Ransomware tidak suka penego profesional ikut terlibat dalam serangannya, karena dapat menyebabkan penurunan keuntungan dan mengulur waktu korban untuk melakukan respon insiden.
Ragnar Locker berpendapat bahwa perusahaan negosiasi ransomware hanya ada untuk menghasilkan uang, bukan untuk kepentingan korban.
“Recovery Company akan menagih korban, bahkan mungkin membantu korban dalam mengembalikan potongan data jika operasi tidak sempurna, mereka akan mencoba menurunkan harganya. Dan sebagai hasilnya, data klien mereka hanya akan berada di domain publik, karena kami akan mempublikasikannya,” kata Ragnar Locker dalam postingan di situs kebocoran data mereka.
Sejak mereka membuat peringatan ini, Ragnar Locker mengklaim untuk mempublikasikan seluruh data korban yang dicuri setelah mereka menyewa perusahaan negosiasi ransomware.
Kunci Dekripsi Akan Dihapus
Geng ransomware Grief mengancam akan menghapus kunci dekripsi jika korban menyewa perusahaan negosiasi, dengan begitu korban akan kesulitan untuk memulihkan file yang terenkripsi.
Dengan melarang perusahaan negosiasi ransomware, mereka berharap para korban tidak akan diberitahu tentang risiko sanksi dan dengan demikian tidak membayar tebusan.
Sementara Grief membuat ancaman ini untuk memberi tekanan lebih lanjut pada para korban, kemungkinan juga dibuat untuk alasan lain, yaitu untuk menghindari sanksi Amerika.
Grief ransomware diyakini terlibat dalam kelompok peretasan Rusia yang dikenal sebagai Evil Corp dan telah disetujui oleh pemerintah Amerika.
Evil Corp adalah kelompok penjahat siber yang terkenal karena membuat sekaligus mendistribusikan Trojan perbankan Dridex dan berbagai keluarga ransomware.
Ketika kelompok ini pertama kali memulai, mereka menggunakan trojan Dridex untuk mencuri kredensial perbankan online dan mentransfer dana ke rekening bank di bawah kendali mereka.
Di tahun 2017, geng ini mulai menggunakan ransomware BitPaymer dalam serangan terhadap perusahaan.
Dan tahun 2019, operasi ransomware baru muncul yang disebut DoppelPaymer, yang memiliki kesamaan kode dengan BitPaymer.
Namun, tidak jelas apakah DoppelPaymer dioperasikan oleh Evil Corp (alias INDRIK SPIDER) atau grup lain.
“BitPaymer dan DoppelPaymer terus dioperasikan secara paralel dan korban baru dari kedua keluarga ransomware telah diidentifikasi pada Juni dan Juli 2019.
Operasi paralel, ditambah dengan tumpang tindih kode yang signifikan antara BitPaymer dan DoppelPaymer, menunjukkan tidak hanya percabangan dari basis kode BitPaymer, tetapi operasi yang sepenuhnya terpisah,” jelas CrowdStrike dalam sebuah laporan.
“Hal ini mungkin menunjukkan bahwa pelaku ancaman yang mengoperasikan DoppelPaymer telah memisahkan diri dari INDRIK SPIDER dan sekarang menggunakan kode bercabang untuk menjalankan operasi ransomware Big Game Hunting mereka sendiri.”
Setelah Amerika mendakwa anggota Evil Corp karena mencuri lebih dari $100 juta, Amerika juga menambahkan geng penjahat siber ke daftar sanksi Office of Foreign Assets Control (OFAC).
Departemen Keuangan Amerika kemudian memperingatkan bahwa negosiator ransomware mungkin menghadapi hukuman perdata karena memfasilitasi pembayaran ransomware ke geng ransomware dalam daftar sanksi.
Evil Corp mulai menyebarkan varian ransomware baru dengan nama yang berbeda untuk menghindari sanksi Amerika, seperti WastedLocker, Hades, Phoenix CryptoLocker dan PayLoadBin.
Sementara Evil Corp, menggunakan varian yang berbeda dan operasi DoppelPaymer secara bersamaan berjalan hingga Mei 2021, ketika mereka berhenti mencantumkan korban baru di situs kebocoran data mereka.
Satu bulan kemudian, geng ransomware Grief baru muncul yang diyakini sebagai rebranding dari DoppelPaymer karena menggunakan banyak kode yang sama.
Karena perusahaan percaya ada hubungan yang cukup kuat antara DoppelPaymer/Grief dan Evil Corp, mereka kemungkinan mengganti nama untuk menghindari sanksi Amerika.
Recent Comments