RTM Locker: Kelompok Kejahatan Dunia Maya yang Muncul yang Menargetkan Bisnis dengan Ransomware

13 April 2023Ravie LakshmananRansomware / Serangan Cyber

Peneliti keamanan siber telah merinci taktik geng penjahat dunia maya yang “meningkat” yang disebut Locker “Read The Manual” (RTM) yang berfungsi sebagai penyedia ransomware-as-a-service (RaaS) swasta dan melakukan serangan oportunistik untuk menghasilkan keuntungan terlarang.

“Geng Locker ‘Read The Manual’ menggunakan afiliasinya untuk menebus korban, yang semuanya dipaksa untuk mematuhi aturan ketat geng tersebut,” kata perusahaan keamanan siber Trellix dalam sebuah laporan yang dibagikan kepada The Hacker News.

“Pembentukan grup yang bersifat bisnis, di mana afiliasi diharuskan untuk tetap aktif atau memberi tahu geng tentang cuti mereka, menunjukkan kematangan organisasi grup, seperti yang juga diamati di grup lain, seperti Conti.”

Keamanan cyber

RTM, pertama kali didokumentasikan oleh ESET pada bulan Februari 2017, dimulai pada tahun 2015 sebagai malware perbankan yang menargetkan bisnis di Rusia melalui unduhan drive-by, spam, dan email phishing. Rantai serangan yang dipasang oleh kelompok tersebut telah berevolusi untuk menyebarkan muatan ransomware pada host yang disusupi.

Pada bulan Maret 2021, kelompok berbahasa Rusia ini dikaitkan dengan kampanye pemerasan dan pemerasan yang menyebarkan tiga jenis ancaman, termasuk alat akses jarak jauh yang sah, trojan keuangan, dan jenis ransomware yang disebut Quoter.

Trellix mengatakan kepada The Hacker News bahwa tidak ada hubungan antara Quoter dan ransomware RTM Locker yang dapat dieksekusi yang digunakan dalam serangan terbaru.

perangkat lunak tebusan
perangkat lunak tebusan

Ciri utama dari pelaku ancaman adalah kemampuannya untuk beroperasi secara tersembunyi dengan secara sengaja menghindari target-target penting yang dapat menarik perhatian terhadap aktivitasnya. Untuk mencapai tujuan tersebut, negara-negara CIS, serta kamar mayat, rumah sakit, perusahaan terkait vaksin COVID-19, infrastruktur penting, penegak hukum, dan perusahaan terkemuka lainnya tidak boleh ikut serta dalam kelompok ini.

“Tujuan geng RTM adalah untuk menarik perhatian sesedikit mungkin, sehingga peraturan membantu mereka menghindari sasaran bernilai tinggi,” kata peneliti keamanan Max Kersten. “Manajemen afiliasi mereka untuk mencapai tujuan tersebut memerlukan tingkat kecanggihan tertentu, meskipun itu bukan tingkat yang tinggi.”

Keamanan cyber

Malware RTM Locker yang dibuat terikat oleh mandat ketat yang melarang afiliasi membocorkan sampel, atau berisiko terkena larangan. Di antara aturan lain yang ditetapkan adalah klausul yang mengunci afiliasi jika mereka tetap tidak aktif selama 10 hari tanpa pemberitahuan sebelumnya.

“Upaya yang dilakukan geng tersebut untuk menghindari menarik perhatian adalah hal yang paling tidak biasa,” jelas Kersten. “Afiliasinya juga harus aktif, sehingga mempersulit peneliti untuk menyusup ke dalam geng tersebut. Secara keseluruhan, upaya khusus geng tersebut di bidang ini lebih tinggi daripada yang biasanya diamati dibandingkan dengan kelompok ransomware lainnya.”

Ada dugaan bahwa loker dijalankan pada jaringan yang sudah berada di bawah kendali musuh, yang menunjukkan bahwa sistem mungkin telah disusupi dengan cara lain, seperti serangan phishing, malspam, atau eksploitasi server rentan yang terekspos internet.

Pelaku ancaman, seperti kelompok RaaS lainnya, menggunakan teknik pemerasan untuk memaksa korban membayar. Payload, pada bagiannya, mampu meningkatkan hak istimewa, menghentikan layanan antivirus dan cadangan, dan menghapus salinan bayangan sebelum memulai prosedur enkripsinya.

Ini juga dirancang untuk mengosongkan Recycle Bin untuk mencegah pemulihan, mengubah wallpaper, menghapus log peristiwa, dan menjalankan perintah shell yang menghapus sendiri loker sebagai langkah terakhir.

Temuan ini menunjukkan bahwa kelompok kejahatan dunia maya akan terus “mengadopsi taktik dan metode baru untuk menghindari berita utama dan membantu mereka tidak terdeteksi oleh peneliti dan penegak hukum,” kata Kersten.

Apakah artikel ini menarik? Ikuti kami di Twitter  dan LinkedIn untuk membaca lebih banyak konten eksklusif yang kami posting.

Source link

Leave a Reply

Your email address will not be published. Required fields are marked *