Penjahat dunia maya telah mengembangkan versi canggih dari ransomware GhostLocker terkenal yang mereka gunakan dalam serangan di Timur Tengah, Afrika, dan Asia.

Dua kelompok ransomware, GhostSec dan Stormous, telah bergabung dalam kampanye serangan dengan serangan ransomware pemerasan ganda menggunakan GhostLocker 2.0 baru untuk menginfeksi organisasi di Lebanon, Israel, Afrika Selatan, Turki, Mesir, India, Vietnam, dan Thailand, serta seperti lokasi lainnya.

Perusahaan teknologi, universitas, manufaktur, transportasi, dan organisasi pemerintah menanggung beban terbesar dari serangan ini, yang berupaya menipu korban agar membayar kunci dekripsi yang diperlukan untuk menguraikan data yang tidak dapat diakses oleh malware enkripsi file. Para penyerang juga mengancam akan merilis data sensitif yang dicuri kecuali korban membayar uang tutup mulut, menurut peneliti di Cisco Talos, yang menemukan kampanye malware dan serangan siber baru.

Program RaaS Menawarkan Opsi kepada Penyerang

Baik kelompok ransomware GhostLocker maupun Stormous telah memperkenalkan program ransomware-as-a-service (RaaS) yang telah direvisi yang disebut STMX_GhostLocker, yang menyediakan berbagai opsi untuk afiliasi mereka.

Grup GhostSec dan Stormous mengumumkan pencurian data mereka di saluran Telegram mereka dan di situs kebocoran data ransomware Stormous.

Di sebuah posting blog teknis minggu ini, Cisco Talos mengatakan GhostSec menyerang sistem industri, infrastruktur penting, dan perusahaan teknologi Israel. Korban yang diduga termasuk Kementerian Pertahanan Israel, namun motif kelompok ini tampaknya hanya mencari keuntungan dan bukan untuk tujuan sabotase kinetik.

Obrolan di saluran Telegram grup tersebut menunjukkan bahwa grup tersebut termotivasi (setidaknya sebagian) oleh keinginan untuk mengumpulkan dana bagi para peretas dan pelaku ancaman. Nama yang dipilih kelompok tersebut, GhostSec, mirip dengan nama kru hacktivist terkenal Ghost Security Group, sebuah kelompok yang terkenal karena menargetkan situs web kelompok pro-ISIS dan serangan siber lainnya, namun koneksi apa pun masih belum dikonfirmasi.

Geng Stormous menambahkan program ransomware GhostLocker ke program StormousX yang ada setelah operasi gabungan yang sukses melawan kementerian Kuba pada Juli lalu.

Penyerang Siber Fokus pada Situs Web Perusahaan

GhostSec tampaknya melakukan serangan terhadap situs web perusahaan, termasuk operator kereta api nasional di Indonesia dan pemasok energi Kanada. Cisco Talos melaporkan bahwa kelompok tersebut mungkin menggunakan alat GhostPresser bersama dengan serangan skrip lintas situs (XSS) terhadap situs web yang rentan.

Gembong ransomware menawarkan seperangkat alat pemindaian mendalam GhostSec yang baru dikembangkan yang dapat digunakan oleh calon penyerang untuk memindai situs web target potensial mereka.

Utilitas berbasis Python berisi placeholder untuk menjalankan fungsi tertentu termasuk kemampuan potensial untuk memindai kerentanan tertentu (berdasarkan nomor CVE) di situs web yang ditargetkan. Fungsionalitas yang dijanjikan menunjukkan “evolusi berkelanjutan GhostSec atas alat-alat di gudang senjata mereka,” menurut Cisco Talos. Peneliti keamanan melaporkan bahwa pengembang malware merujuk pada “pekerjaan yang sedang berlangsung” pada “GhostLocker v3” dalam obrolan mereka.

Pesan GhostLocker 2.0

GhostLocker 2.0 mengenkripsi file di mesin korban menggunakan ekstensi file .hantu sebelum menjatuhkan dan membuka catatan tebusan. Tanda-tanda prospektif memperingatkan bahwa data yang dicuri akan bocor kecuali mereka menghubungi operator ransomware sebelum tenggat waktu tujuh hari berakhir.

Afiliasi ransomware-as-a-service GhostLocker memiliki akses ke panel kontrol yang memungkinkan mereka memantau kemajuan serangan mereka, yang secara otomatis terdaftar di dasbor. Server perintah dan kontrol GhostLocker 2.0 dapat diselesaikan dengan geolokasi di Moskow, pengaturan serupa dengan versi ransomware sebelumnya.

Afiliasi yang membayar mendapatkan akses ke pembuat ransomware yang dapat dikonfigurasi dengan berbagai opsi, termasuk direktori target untuk enkripsi. Pengembang telah mengonfigurasi ransomware untuk mengekstrak dan mengenkripsi file yang memiliki ekstensi file .doc, .docx, .xls, dan .xlsx (yaitu, file dokumen dan spreadsheet yang dibuat oleh Word).

GhostLocker versi terbaru ditulis dengan bahasa pemrograman GoLang, berbeda dengan versi sebelumnya yang dikembangkan menggunakan Python. Namun fungsinya tetap serupa, menurut Cisco Talos. Satu perbedaan dalam versi baru ini: Versi ini menggandakan panjang kunci enkripsi dari 128 menjadi 256 bit.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/cyberattacks-data-breaches/ghostlocker-two-threatens-businesses-across-middle-east-africa-asia