Geng Conti ransomware, yang minggu lalu menjadi organisasi crimeware profesional pertama yang mengadopsi dan mempersenjatai kerentanan Log4Shell, kini telah membangun rantai serangan holistik.
Grup Conti yang berbasis di Rusia – yang oleh Palo Alto Networks disebut sebagai “salah satu yang paling kejam” dari lusinan grup ransomware yang saat ini diketahui aktif – berada di tempat yang tepat pada waktu yang tepat dengan alat yang tepat ketika Log4Shell muncul 10 hari yang lalu, kata perusahaan keamanan Advanced Intelligence (AdvIntel) dalam sebuah laporan yang dibagikan kepada Threatpost pada hari Kamis.
Mulai Senin, 20 Desember, rantai serangan telah mengambil bentuk berikut, Yelisey Boguslavskiy dari AdvIntel mengatakan kepada Threatpost: Emotet -> Cobalt Strike -> Human Exploitation -> (tidak ada ADMIN$ share) -> Kerberoast -> vCenter ESXi dengan log4shell memindai vCenter.
Dalam dua hari setelah pengungkapan kerentanan di libraru logging Log4j Apache pada 10 Desember, anggota grup Conti mendiskusikan cara mengeksploitasinya sebagai vektor serangan awal, menurut AdvIntel.
Log4Shell telah menjadi titik fokus bagi pelaku ancaman, termasuk tersangka pelaku negara bangsa yang telah diamati menyelidiki Log4j2, catat para peneliti AdvIntel.
Namun dari semua pelaku ancaman, Conti “memainkan peran khusus dalam lanskap ancaman saat ini, terutama karena skalanya,” jelas mereka. Ini adalah organisasi yang sangat canggih, terdiri dari beberapa tim. AdvIntel memperkirakan bahwa, berdasarkan pemeriksaan log Conti, geng berbahasa Rusia tersebut menghasilkan lebih dari $150 juta selama enam bulan terakhir.
Selengkapnya: Threat Post
