Pelaku ancaman yang terkait dengan ransomware Kuba telah dikaitkan dengan taktik, teknik, dan prosedur (TTP) yang sebelumnya tidak terdokumentasi, termasuk trojan akses jarak jauh baru yang disebut ROMCOM RAT pada sistem yang disusupi.
Temuan baru datang dari tim intelijen ancaman Unit 42 Palo Alto Networks, yang melacak kelompok ransomware pemerasan ganda di bawah moniker bertema konstelasi Tropical Scorpius.
Cuba ransomware (alias COLDDRAW), yang pertama kali terdeteksi pada Desember 2019, muncul kembali di lanskap ancaman pada November 2021 dan telah dikaitkan dengan serangan terhadap 60 entitas di lima sektor infrastruktur penting, mengumpulkan setidaknya $ 43,9 juta dalam pembayaran tebusan.
Dari 60 korban yang terdaftar di situs kebocoran datanya, 40 berada di AS, menunjukkan distribusi global organisasi yang ditargetkan tidak seperti geng ransomware lainnya.
“Ransomware Kuba didistribusikan melalui malware Hancitor, pemuat yang dikenal menjatuhkan atau mengeksekusi pencuri, seperti Remote Access Trojans (RAT) dan jenis ransomware lainnya, ke jaringan korban,” menurut peringatan Desember 2021 dari Biro Federal AS. Investigasi (FBI).
“Aktor malware Hancitor menggunakan email phishing, kerentanan Microsoft Exchange, kredensial yang disusupi, atau alat Remote Desktop Protocol (RDP) yang sah untuk mendapatkan akses awal ke jaringan korban.”
Dalam bulan-bulan berikutnya, operasi ransomware menerima peningkatan substansial dengan tujuan untuk “mengoptimalkan pelaksanaannya, meminimalkan perilaku sistem yang tidak diinginkan, dan memberikan dukungan teknis kepada korban ransomware jika mereka memilih untuk bernegosiasi,” kata Trend Micro pada bulan Juni.
Perubahan utama meliputi penghentian lebih banyak proses sebelum enkripsi (yaitu Microsoft Outlook, Exchange, dan MySQL), memperluas jenis file yang akan dikecualikan, dan revisi catatan tebusan untuk menawarkan dukungan korban melalui quTox.
Tropical Scorpius juga diyakini berbagi koneksi dengan pasar pemerasan data yang disebut Industrial Spy, seperti yang dilaporkan oleh Bleeping Computer pada Mei 2022, dengan data yang dieksfiltrasi menyusul serangan ransomware Kuba yang diposting untuk dijual di portal terlarang alih-alih situs kebocoran datanya sendiri.
Pembaruan terbaru yang diamati oleh Unit 42 pada Mei 2022 berkaitan dengan taktik penghindaran pertahanan yang digunakan sebelum penyebaran ransomware untuk terbang di bawah radar dan bergerak secara lateral melintasi lingkungan TI yang disusupi.
Tropical Scorpius memanfaatkan penetes yang menulis driver kernel ke sistem file yang disebut ApcHelper.sys,” kata perusahaan itu. “Ini menargetkan dan menghentikan produk keamanan. Dropper tidak ditandatangani, namun driver kernel ditandatangani menggunakan sertifikat yang ditemukan di kebocoran LAPSUS$ NVIDIA.”
Tugas utama driver kernel adalah untuk menghentikan proses yang terkait dengan produk keamanan untuk menghindari deteksi. Juga tergabung dalam rantai serangan adalah alat eskalasi hak istimewa lokal yang diunduh dari server jauh untuk mendapatkan izin SISTEM.
Ini, pada gilirannya, dicapai dengan memicu eksploitasi untuk CVE-2022-24521 (skor CVSS: 7.8), sebuah cacat pada Sistem File Log Umum Windows (CLFS) yang ditambal oleh Microsoft sebagai cacat nol hari pada April 2022 .
Langkah eskalasi hak istimewa diikuti dengan melakukan pengintaian sistem dan aktivitas gerakan lateral melalui alat seperti ADFind dan Net Scan, sementara juga menggunakan utilitas ZeroLogon yang mengeksploitasi CVE-2020-1472 untuk mendapatkan hak administrator domain.
Lebih lanjut, penyusupan tersebut membuka jalan bagi penyebaran pintu belakang baru yang disebut ROMCOM RAT, yang dilengkapi untuk memulai shell terbalik, menghapus file arbitrer, mengunggah data ke server jauh, dan memanen daftar proses yang sedang berjalan.
Trojan akses jarak jauh, per Unit 42, dikatakan sedang dalam pengembangan aktif, ketika perusahaan keamanan siber menemukan sampel kedua yang diunggah ke database VirusTotal pada 20 Juni 2022.
Varian yang ditingkatkan hadir dengan dukungan untuk serangkaian 22 perintah yang diperluas, menghitung kemampuan untuk mengunduh muatan yang dipesan lebih dahulu untuk menangkap tangkapan layar serta mengekstrak daftar semua aplikasi yang diinstal untuk dikirim kembali ke server jarak jauh.
“Scorpius tropis tetap menjadi ancaman aktif,” kata para peneliti. “Aktivitas grup memperjelas bahwa pendekatan untuk tradecraft menggunakan hibrida dari alat yang lebih bernuansa yang berfokus pada internal Windows tingkat rendah untuk penghindaran pertahanan dan eskalasi hak istimewa lokal bisa sangat efektif selama intrusi.
Temuan ini muncul saat kelompok ransomware yang muncul seperti Stormous, Vice Society, Luna, SolidBit, dan BlueSky terus berkembang biak dan berkembang di ekosistem kejahatan dunia maya, pada saat yang sama menggunakan teknik enkripsi dan mekanisme pengiriman canggih.
Sumber: The Hacker News