Grup ransomware di balik peretasan Colonial Pipeline baru-baru ini menambahkan serangkaian taktik, alat, dan prosedur baru ke dalam operasinya, membuatnya semakin mudah bagi anggota untuk mengenkripsi, mencuri, dan menyortir data.
Dalam laporan dari Tim Pemburu Ancaman Symantec, para peneliti memeriksa evolusi terbaru dari kelompok yang mereka beri nama Coreid.
Peneliti Symantec menguraikan bagaimana kelompok tersebut telah menghindari penegakan hukum dengan menyebarkan jenis ransomware baru, setelah sekarang menetap di Noberus — yang merupakan singkatan dari ransomware BlackCat ALPHV yang telah digunakan dalam serangan di beberapa universitas AS.
Geng kriminal telah ada dalam beberapa bentuk sejak 2012, menurut para peneliti, yang mengatakan mulai menggunakan malware Carbanak untuk mencuri uang dari organisasi di sektor perbankan, perhotelan dan ritel.
Tiga anggota kelompok itu ditangkap pada tahun 2018 sebelum berkembang menjadi operasi ransomware-as-a service (RaaS) sekitar tahun 2020.
Coreid telah berulang kali memperbarui operasi ransomware-nya sejak serangan yang menjadi berita utama di Colonial Pipeline — di mana ia menggunakan ransomware Darkside untuk melumpuhkan pompa bensin di seluruh Pantai Timur pada Mei 2021.
Pengawasan dari penegak hukum memaksa kelompok itu untuk mengesampingkan ransomware dan membuat yang baru bernama BlackMatter, yang digunakan untuk menargetkan perusahaan pertanian selama musim panen pada musim gugur 2021.
Serangkaian serangan itu menarik pengawasan penegakan hukum tingkat tinggi yang sama, mendorong kelompok tersebut untuk beralih dari menggunakan ransomware BlackMatter ke merek baru bernama Noberus.
Selengkapnya: The Record
