DeltaBoys, sekelompok peretas yang beroperasi sejak Desember 2021, awalnya bergerak sebagai pialang basis data dan pelaku carding. Namun, pada Agustus 2022, operasi mereka berkembang menjadi defacement massal dan pasar “akses awal”, yang menyediakan webshell untuk situs web sensitif.
Untuk mendanai operasi mereka yang memiliki motif geopolitik, mereka membangun katalog beragam basis data yang baru saja diretas, “zero-day”, “exploit untuk kerentanan yang diketahui”, webshell, dan kartu kredit yang bocor untuk dijual.
DeltaBoys membuat saluran Telegram mereka pada 1 Desember 2021 untuk memonetisasi upaya peretasan mereka. Tidak lama kemudian terbukti bahwa pasar untuk basis data tertentu lebih kecil daripada pasar yang mencari akses domain awal. Para pelaku ancaman ini memposting set pertama webshell mereka untuk dijual pada Agustus 2022.
Akses webshell biasanya terjual sangat cepat di dark web: hal ini tergantung pada siapa yang menemukan kerentanan/konfigurasi yang salah terlebih dahulu, karena secara alami, pelaku ancaman tidak ingin membagikan korban mereka. Dalam kasus ini, 170 webshell terjual dalam waktu satu menit, yang menunjukkan permintaan akan data semacam itu.
DeltaBoys muntul dengan hanya melakukan 2 defacement pada tahun 2021, sedangkan pada bulan April 2023 saja, DeltaBoys telah melakukan defacement terhadap 59 situs web, dengan sebagian besar korban berasal dari Israel, Taiwan, Tiongkok, dan Spanyol.
Kelompok DeltaBoys dikenal menggunakan utilitas “bashupload”, yang memungkinkan pengguna mengunggah file untuk diakses nanti, dan juga memfasilitasi penggalian data. Selain itu, hanya 3 dari 88 vendor antivirus yang mengindikasikan domain ini sebagai berbahaya.
Selengkapnya: CYFIRMA
