Serangan baru yang dilacak sebagai SnapMC telah muncul di ruang kejahatan siber, serangan ini melakukan pemerasan sekaligus pencurian data sensitif yang mendukung operasi ransomware, tanpa melakukan enkripsi file.
Enkripsi file dianggap sebagai komponen inti dari serangan ransomware karena merupakan elemen yang membawa gangguan operasional kepada korban.
Eksfiltrasi data ini muncul untuk digunakan dalam pemerasan ganda dan dapat mempengaruhi korban.
Serangan ini selalu mengambil backseat untuk membuat kekacauan yang disebabkan oleh jaringan terenkripsi
Pelaku ransomware sebenarnya menyadari kekuatan pendekatan ini, namun membiarkan perusahaan korban untuk memulihkan file yang rusak dari cadangan, hanya saja korban tidak bisa mengembalikan peristiwa pencurian file beserta konsekuensinya.
Para peneliti di NCC Group telah melacak musuh baru yang mereka sebut SnapMC yang dinamai berdasarkan pendekatan serangan cepat yang diikuti kelompok tersebut untuk memasuki jaringan, mencuri file, dan mengirimkan email pemerasan dalam waktu kurang dari 30 menit.
Menargetkan Kerentanan yang sudah Diketahui
Geng SnapMC menggunakan pemindai kerentanan Acunetix untuk menemukan berbagai kelemahan dalam aplikasi VPN dan server web calon korban serta dapat dengan mudahnya berhasil mengeksploitasi untuk menembus jaringan perusahaan korban.
Cacat yang paling dieksploitasi dan diamati dalam upaya akses awal aktor termasuk LPE PrintNightmare, eksekusi kode jarak jauh di Telerik UI untuk ASPX.NET dan juga berbagai peluang injeksi SQL.
Penyerang menggunakan skrip ekspor database SQL untuk mencuri data, sedangkan file CSV dikompresi dengan utilitas arsip 7zip sebelum eksfiltrasi.
Setelah semuanya dikemas dengan rapi, klien MinIO ini digunakan untuk mengirim data, kemudian kembali ke penyerang.
Seperti yang ditunjukkan NCC Group dalam laporannya, jika sebuah perusahaan menggunakan versi Telerik yang rentan, lalu meletakkannya di belakang Web Application Firewall yang dikonfigurasi dengan baik akan membuat upaya eksploitasi menjadi sia-sia.
Membayar Dapat Berisiko
Dalam serangan pemerasan eksfiltrasi data, memenuhi tuntutan pelaku ancaman dengan membayar ransomware tidak menjamin apa pun.
Justru sebaliknya, hal ini bisa memberi insentif kepada peretas untuk mencoba pemerasan lebih lanjut di lain waktu.
Ada kemungkinan juga, jika seorang korban membayar uang tebusan, data mereka mungkin berakhir dijual di pasar kriminal atau forum peretas sebagai cara tambahan untuk menghasilkan pendapatan bagi penyerang.
Perusahaan negosiasi Ransomware Coveware sangat menyarankan kliennya untuk tidak pernah membayar uang tebusan demi mencegah file yang dicuri bocor ke publik.
Selama negosiasi kasus ransomware di masa lalu, korban telah membayar uang tebusan dan data mereka masih bocor atau tidak ada bukti penghapusan yang pernah diberikan.
- Sodinokibi: Korban yang dibayar, diperas kembali beberapa minggu kemudian dengan ancaman untuk memposting kumpulan data yang sama.
- Conti: File palsu ditampilkan sebagai bukti penghapusan
Karena itu, para korban harus secara otomatis berasumsi bahwa data mereka telah dibagikan dengan pelaku ancaman lain dan data itu akan digunakan atau bocor di masa mendatang, terlepas dari apakah mereka membayar uang tebusan.
Kerentanan pada aplikasi, wajib di-update segera.
Gunakan patch management dari Bitdefender Gravityzone, agar kita tidak lupa melakukan patching.
Patch bisa dilakukan via patch server yang kemudian akan menyebarkannya ke seluruh endpoint, sehingga akan menghemat kuota internet.
Restart yang biasa terjadi setelah patching pun, bisa kita tunda di bagian setting.
Recent Comments