Peretasan Ransomware yang Jelas Menempatkan NRA dalam Bind
Security

Peretasan Ransomware yang Jelas Menempatkan NRA dalam Bind

Pada hari Rabu, Grup ransomware Rusia Grief memposting sampel data yang diklaim dicuri dari National Rifle Association. Berurusan dengan ransomware adalah rasa sakit dalam keadaan apa pun. Tetapi Dukacita menghadirkan lebih banyak komplikasi, karena kelompok itu terhubung dengan geng Evil Corp yang terkenal kejam, yang telah dikenai sanksi Departemen Keuangan AS sejak Desember 2019. Bahkan jika Anda memutuskan untuk membayar Dukacita, Anda dapat menghadapi hukuman serius.

Pemerintah AS semakin agresif dalam menjatuhkan sanksi pada kelompok penjahat dunia maya, dan dalam beberapa bulan terakhir Gedung Putih telah mengisyaratkan bahwa pelaku ransomware lainnya akan segera masuk daftar hitam. Dan saat upaya ini meningkat, mereka membentuk pendekatan pelaku dan korban ransomware.

NRA belum mengkonfirmasi serangan itu atau keabsahan dokumen curian yang diklaim, yang menurut peneliti termasuk materi yang terkait dengan aplikasi hibah, surat dukungan politik, dan notulen rapat NRA baru-baru ini. Tampaknya, mereka menambahkan, bahwa NRA terkena ransomware akhir pekan lalu atau selama akhir pekan, yang sejalan dengan laporan bahwa sistem email organisasi sedang down.

Pada hari Jumat, Grief menghapus posting NRA dari situs web gelapnya. Brett Callow, seorang analis ancaman di perusahaan antivirus Emsisoft, memperingatkan agar tidak membaca terlalu banyak tentang perkembangan itu. Delisting dapat menunjukkan bahwa pembayaran telah terjadi, tetapi dapat juga berarti bahwa kelompok tersebut telah melakukan negosiasi dengan para korban, yang pada gilirannya dapat mengulur waktu untuk menyelidiki situasi dan merumuskan rencana tanggapan. Penyerang juga kadang-kadang akan mengabaikan upaya pemerasan jika insiden tersebut menarik terlalu banyak perhatian dari penegak hukum.

Yang lebih menarik, mungkin, adalah Dukacita itu sendiri, yang sebagian besar peneliti setujui hanyalah salah satu dari banyak front untuk Evil Corp. Mengingat jaringan gelap aktor ransomware dan malware mereka, beberapa peneliti percaya bahwa Dukacita adalah kelompok spin-off daripada Evil Corp itu sendiri. Analis melihat metode dan infrastruktur penyerang, termasuk indikator seperti format file enkripsi dan mekanisme distribusi, untuk mengungkap tautan. Dalam kasus Duka, grup tersebut memiliki kesamaan teknis dengan entitas terkait Evil Corp lainnya seperti DoppelPaymer, dan menggunakan botnet Dridex—secara historis merupakan produk khas Evil Corp.

“Kesedihan telah berjalan perlahan dan pasti selama beberapa waktu,” kata Callow. “Apa yang kami lihat adalah Evil Corp bersepeda melalui berbagai merek untuk mengelabui perusahaan agar membayar, tidak menyadari bahwa mereka sedang berurusan dengan entitas yang terkena sanksi, atau mungkin untuk memberi mereka penyangkalan yang masuk akal.”

Pakar Ransomware mencatat bahwa sanksi tidak menghentikan Evil Corp dari menyerang target dan mendapatkan bayaran. Tetapi mereka tampaknya telah memengaruhi operasi kelompok, memaksa para peretas untuk mempertimbangkan sanksi dalam cara mereka menampilkan diri dan apa yang mereka komunikasikan kepada para korban.

“Ini menarik. Kami tidak sering melihat pelaku ransomware berpura-pura menjadi kelompok lain, karena Anda ingin memastikan bahwa Anda dibayar,” kata Allan Liska, analis perusahaan keamanan Recorded Future. “Jika Anda terkena Conti atau Lockbit, Anda tahu bahwa Anda telah terkena Conti atau Lockbit. Jadi saya pikir itu menunjukkan perubahan perilaku karena sanksi. DoppelPaymer, Duka, dan beberapa jenis dan kelompok ransomware lainnya terkait dengan Evil Corp.”

Posted By : hk hari ini keluar