Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Phishing menghindar menggabungkan terowongan terbalik dan layanan pemendekan URL

by

Peneliti keamanan melihat peningkatan dalam penggunaan layanan terowongan terbalik bersama dengan penyingkat URL untuk kampanye phishing skala besar, membuat aktivitas jahat lebih sulit dihentikan.

Praktik ini menyimpang dari metode yang lebih umum untuk mendaftarkan domain dengan penyedia hosting, yang cenderung menanggapi keluhan dan menghapus situs phishing.

Dengan terowongan terbalik, pelaku ancaman dapat meng-host halaman phishing secara lokal di komputer mereka sendiri dan merutekan koneksi melalui layanan eksternal. Menggunakan layanan pemendekan URL, mereka dapat membuat tautan baru sesering yang mereka inginkan untuk melewati deteksi.

Banyak tautan phishing diperbarui dalam waktu kurang dari 24 jam, membuat pelacakan dan penghapusan domain menjadi tugas yang lebih menantang.

Perusahaan perlindungan risiko digital CloudSEK mengamati peningkatan jumlah kampanye phishing yang menggabungkan layanan untuk tunneling terbalik dan pemendekan URL.

Dalam sebuah laporan yang dibagikan, para peneliti mengatakan mereka menemukan lebih dari 500 situs yang dihosting dan didistribusikan dengan cara ini.

Layanan terowongan terbalik yang paling banyak disalahgunakan yang ditemukan CloudSEK dalam penelitian mereka adalah Ngrok, LocalhostRun, dan Argo Cloudflare. Mereka juga melihat Bit.ly, is.gd, dan layanan pemendekan URL cutt.ly menjadi lebih umum.

Layanan terowongan terbalik melindungi situs phishing dengan menangani semua koneksi ke server lokal yang dihostingnya. Dengan cara ini, setiap koneksi yang masuk diselesaikan oleh layanan tunnel dan diteruskan ke mesin lokal.

Modus operandi pelaku phising (CloudSEK)

Korban yang berinteraksi dengan situs phishing ini berakhir dengan data sensitif mereka disimpan langsung di komputer penyerang.

Dengan menggunakan penyingkat URL, aktor ancaman menutupi nama URL, yang biasanya berupa string karakter acak, kata CloudSEK. Dengan demikian, nama domain yang akan menimbulkan kecurigaan disembunyikan di URL pendek.

Menurut CloudSEK, musuh mendistribusikan tautan ini melalui saluran komunikasi populer seperti WhatsApp, Telegram, email, teks, atau halaman media sosial palsu.

Salah satu contoh kampanye phishing yang menyalahgunakan layanan ini yang dideteksi CloudSEK adalah meniru YONO, platform perbankan digital yang ditawarkan oleh State Bank of India.

Situs phishing YONO yang dihosting secara lokal (CloudSEK)

URL yang ditentukan oleh penyerang disembunyikan di balik “cutt[.]ly/UdbpGhs” dan mengarah ke domain “ultimate-boy-bacterial-generates[.]trycloudflare[.]com/sbi” yang menggunakan layanan tunneling Argo Cloudflare.

Halaman phishing ini meminta kredensial rekening bank, nomor kartu PAN, nomor identifikasi unik Aadhaar, dan nomor ponsel.

CloudSEK tidak menjelaskan seberapa efektif kampanye ini tetapi menyoroti bahwa pelaku ancaman jarang menggunakan nama domain yang sama selama lebih dari 24 jam, meskipun mereka mendaur ulang template halaman phishing.

Informasi sensitif yang dikumpulkan dengan cara ini dapat dijual di web gelap atau digunakan oleh penyerang untuk mengosongkan rekening bank. Jika data berasal dari perusahaan, pelaku ancaman dapat menggunakannya untuk meluncurkan serangan ransomware, atau penipuan kompromi email bisnis (BEC).

Untuk melindungi dari jenis ancaman ini, pengguna harus menghindari mengklik tautan yang diterima dari sumber yang tidak dikenal atau mencurigakan. Mengetik nama domain bank di browser secara manual adalah metode yang baik untuk mencegah terkena situs palsu.

Sumber: Bleeping Computer

Apple memblokir 1,6 juta aplikasi agar tidak menipu pengguna pada tahun 2021

by

Apple mengatakan minggu ini bahwa mereka memblokir lebih dari 343.000 aplikasi iOS yang diblokir oleh tim App Store App Review karena pelanggaran privasi tahun lalu, sementara 157.000 lainnya ditolak karena mencoba menyesatkan atau mengirim spam ke pengguna iOS.

Perusahaan menambahkan bahwa itu juga memblokir lebih dari 34.500 aplikasi agar tidak diindeks di App Store karena mereka menggunakan fitur yang tidak terdokumentasi atau tersembunyi.

Apple juga menghapus 155.000 lebih banyak aplikasi untuk taktik umpan dan beralih, seperti menambahkan fitur atau kemampuan baru setelah disetujui.

Sepanjang tahun 2021, tim Tinjauan Aplikasi menghentikan lebih dari 1,6 juta aplikasi dan pembaruan yang berisiko atau rentan agar tidak mendarat di App Store dan berpotensi menipu pengguna.

Tahun lalu, dalam laporan analisis pencegahan penipuan pertama perusahaan, Apple mengatakan bahwa hampir 1 juta aplikasi baru yang bermasalah dan hampir 1 juta pembaruan aplikasi ditolak atau dihapus oleh tim Peninjau Aplikasi.

Apple mengatakan bahwa upayanya untuk melindungi pelanggan dari upaya penipuan memerlukan pemantauan dan kewaspadaan banyak tim yang berfokus pada beberapa area, mulai dari App Review hingga Discovery Fraud.

Upaya Apple untuk melindungi pengguna dari penipuan disambut baik, mengingat aplikasi scam yang dikenal sebagai fleeceware masih menjadi masalah besar di App Store iOS, seperti yang ditemukan oleh para peneliti di Avast tahun lalu.

Aplikasi semacam itu memikat pelanggan dengan janji uji coba gratis, tetapi sebaliknya akan membutuhkan biaya berlangganan yang berlebihan hingga ribuan dolar per tahun.

Seperti yang dilaporkan Avast, sekitar 200 aplikasi fleeceware semacam itu dengan total perkiraan pendapatan lebih dari $400 juta di seluruh toko aplikasi Apple dan Google.

Satu tahun sebelumnya, peneliti Sophos juga melihat lusinan aplikasi fleeceware yang diunduh oleh pengguna iOS sekitar 3.680.000 kali dan terdaftar di antara aplikasi terlaris di App Store.

Apple juga menambahkan bahwa mereka mampu melindungi pelanggannya dari $1,5 miliar dalam transaksi yang berpotensi penipuan sepanjang tahun 2021.

Itu juga memblokir penggunaan lebih dari 3,3 juta kartu curian di platform toko online Apple dan melarang hampir 600.000 akun melakukan transaksi lagi di seluruh platformnya.

“Bagi banyak orang, tidak ada data yang lebih sensitif daripada informasi keuangan mereka. Itu sebabnya Apple telah berinvestasi besar-besaran dalam menciptakan teknologi pembayaran yang lebih aman seperti Apple Pay dan StoreKit,” tambah Apple.

Sumber: Bleeping Computer

Malware SMSFactory Android secara diam-diam berlangganan layanan premium

by

Peneliti keamanan memperingatkan malware Android bernama SMSFactory yang menambahkan biaya yang tidak diinginkan ke tagihan telepon dengan membuat korban berlangganan layanan premium.

SMSFactory memiliki beberapa saluran distribusi yang mencakup malvertising, pemberitahuan push, pop-up promosi di situs, video yang menjanjikan peretasan game, atau akses konten dewasa.

Menurut Avast, SMSFactory menargetkan lebih dari 165.000 pelanggan Android antara Mei 2021 hingga Mei 2022, sebagian besar berlokasi di Rusia, Brasil, Argentina, Turki, dan Ukraina.

Sementara tujuan utama SMSFactory adalah mengirim teks premium dan melakukan panggilan ke nomor telepon premium, peneliti Avast melihat varian malware yang juga dapat mencuri daftar kontak pada perangkat yang disusupi, kemungkinan akan digunakan sebagai metode distribusi lain untuk ancaman tersebut.

Jakub Vávra dari Avast mencatat bahwa SMSFactory di-host di toko aplikasi tidak resmi. Peneliti ESET menemukan paket APK berbahaya di APKMods dan PaidAPKFree, dua repositori aplikasi Android yang tidak memiliki pemeriksaan dan kebijakan keamanan yang tepat untuk produk yang terdaftar.

APK SMSFactory mungkin memiliki nama yang berbeda dan ketika mencoba menginstalnya di perangkat, sebuah peringatan muncul dari Play Protect – sistem keamanan bawaan Android, yang memperingatkan pengguna tentang potensi risiko keamanan dari file tersebut.

Peringatan Play Protect (Avast)

Izin yang diminta saat penginstalan termasuk mengakses data lokasi, SMS, kemampuan untuk melakukan panggilan telepon dan mengirim SMS, mengunci dan bergetar saat bangun, mengelola overlay, menggunakan seluruh layar, memantau notifikasi, dan memulai aktivitas dari latar belakang.

Ini semua adalah izin yang menunjukkan aktivitas jahat, tetapi pengguna ceroboh yang berharap dapat mengakses konten yang dijanjikan cenderung mengizinkannya tanpa meninjau.

Setelah diinstal, aplikasi menunjukkan kepada korban layar konten palsu ke layanan yang tidak berfungsi atau sebagian besar tidak tersedia.

Aplikasi itu sendiri tidak memiliki nama atau ikon yang ditetapkan dan dapat menghapus yang terakhir dari layar untuk mempersulit penghapusannya setelah keluar. Akibatnya, sebagian besar korban berasumsi bahwa ada yang salah dengan penginstalan dan tidak memberi tahu lagi tentang aplikasi tersebut.

SMSFactory tidak menggunakan ikon atau nama (Avast)

Namun, SMSFactory terus beroperasi di latar belakang, membuat koneksi ke server perintah dan kontrol (C2) dan mengirim profil ID perangkat yang terinfeksi.

Jika operator kampanye menganggap perangkat dapat digunakan, mereka mengirim kembali instruksi dan berlangganan korban ke layanan premium.

Salah satu varian terbaru dari malware SMSFactory juga dapat menambahkan akun admin di perangkat, kemungkinan diperlukan untuk distribusi SMS menggunakan daftar kontak.

Untuk menghindari tagihan yang lebih besar, pengguna disarankan untuk mengunduh aplikasi hanya dari sumber tepercaya, seperti Google Play. Mereka harus menjaga minimal jumlah aplikasi yang mereka gunakan dan membaca ulasan dari pengguna lain sebelum menginstal apa pun.

Selain itu, perbarui sistem operasi Anda ke versi terbaru yang tersedia untuk perangkat Anda dan jalankan pemindaian rutin melalui Play Protect.

Sumber: Bleeping Computer

Twisted Panda yang terkait dengan China tertangkap memata-matai R&D pertahanan Rusia

by

Mata-mata siber China menargetkan dua lembaga pertahanan Rusia dan mungkin fasilitas penelitian lain di Belarus, menurut Check Point Research.

Kampanye baru, dijuluki Twisted Panda, adalah bagian dari operasi spionase yang lebih besar dan disponsori negara yang telah berlangsung selama beberapa bulan, jika tidak hampir setahun, menurut toko keamanan.

Dalam analisis teknis, para peneliti merinci berbagai tahapan dan muatan berbahaya dari kampanye yang menggunakan email phishing terkait sanksi untuk menyerang entitas Rusia, yang merupakan bagian dari konglomerat pertahanan milik negara Rostec Corporation.

Check Point Research juga mencatat bahwa sekitar waktu yang sama ketika mereka mengamati serangan Twisted Panda, kelompok ancaman persisten lanjutan (APT) China lainnya Mustang Panda diamati mengeksploitasi invasi ke Ukraina untuk menargetkan organisasi Rusia.

Faktanya, Twisted Panda mungkin memiliki koneksi ke Mustang Panda atau jaringan mata-mata lain yang didukung Beijing yang disebut Panda Batu, alias APT10, menurut peneliti keamanan.

Selain waktu serangan, alat dan teknik lain yang digunakan dalam kampanye baru tumpang tindih dengan kelompok APT yang berbasis di China, tulis mereka. Karena itu, para peneliti menghubungkan operasi mata-mata siber baru “dengan kepercayaan tinggi kepada aktor ancaman China.”

Selama penelitian, toko keamanan juga menemukan pemuat serupa yang berisi yang tampak seperti varian yang lebih mudah dari pintu belakang yang sama. Dan berdasarkan hal tersebut, para peneliti mengatakan mereka memperkirakan Twisted Panda telah aktif sejak Juni 2021.

Selengkapnya: The Register

GitLab Mengeluarkan Patch Keamanan untuk Kerentanan Kritis Pengambilalihan Akun

by

GitLab telah bergerak untuk mengatasi kelemahan keamanan kritis dalam layanannya yang, jika berhasil dieksploitasi, dapat mengakibatkan pengambilalihan akun.

Dilacak sebagai CVE-2022-1680, masalah ini memiliki skor keparahan CVSS 9,9 dan ditemukan secara internal oleh perusahaan. Kelemahan keamanan mempengaruhi semua versi GitLab Enterprise Edition (EE) mulai dari 11.10 sebelum 14.9.5, semua versi mulai dari 14.10 sebelum 14.10.4, dan semua versi mulai dari 15.0 sebelum 15.0.1.

“Ketika grup SAML SSO dikonfigurasi, fitur SCIM (hanya tersedia pada langganan Premium+) dapat mengizinkan pemilik grup Premium untuk mengundang pengguna sewenang-wenang melalui nama pengguna dan email mereka, lalu mengubah alamat email pengguna tersebut melalui SCIM menjadi email yang dikendalikan penyerang alamat dan dengan demikian – dengan tidak adanya 2FA – mengambil alih akun tersebut,” kata GitLab.

Setelah mencapai ini, aktor jahat juga dapat mengubah nama tampilan dan nama pengguna akun yang ditargetkan, penyedia platform DevOps memperingatkan dalam nasihatnya yang diterbitkan pada 1 Juni 2022.

Juga diselesaikan oleh GitLab dalam versi 15.0.1, 14.10.4, dan 14.9.5 adalah tujuh kerentanan keamanan lainnya, dua di antaranya berperingkat tinggi, empat berperingkat sedang, dan satu berperingkat rendah dalam tingkat keparahan.

Pengguna yang menjalankan instalasi yang terpengaruh dari bug yang disebutkan di atas disarankan untuk meningkatkan ke versi terbaru sesegera mungkin.

Selengkapnya: The Hacker News

Peretas China, “LuoYu”, Menggunakan Serangan Man-on-the-Side untuk Menyebarkan Backdoor WinDealer

by

Seorang aktor ancaman persisten (APT) canggih berbahasa China yang “sangat canggih” yang dijuluki LuoYu telah diamati menggunakan alat Windows berbahaya yang disebut WinDealer yang dikirimkan melalui serangan man-on-the-side.

“Pengembangan terobosan ini memungkinkan aktor untuk memodifikasi lalu lintas jaringan dalam perjalanan untuk memasukkan muatan berbahaya,” kata perusahaan keamanan siber Rusia Kaspersky dalam sebuah laporan baru. “Serangan seperti itu sangat berbahaya dan menghancurkan karena tidak memerlukan interaksi apa pun dengan target untuk mengarah pada infeksi yang berhasil.”

Dikenal aktif sejak 2008, organisasi yang ditargetkan oleh LuoYu sebagian besar adalah organisasi diplomatik asing yang didirikan di Tiongkok dan anggota komunitas akademik serta perusahaan keuangan, pertahanan, logistik, dan telekomunikasi.

Penggunaan WinDealer oleh LuoYu pertama kali didokumentasikan oleh perusahaan keamanan siber Taiwan TeamT5 pada Konferensi Analis Keamanan Jepang (JSAC) pada Januari 2021. Kampanye serangan berikutnya telah menggunakan malware untuk menargetkan entitas Jepang, dengan infeksi terisolasi dilaporkan di Austria, Jerman, India, Rusia, dan AS

Alat lain yang menonjol di gudang malware musuh yang kurang dikenal termasuk PlugX dan penerusnya ShadowPad, keduanya telah digunakan oleh berbagai pelaku ancaman China untuk mengaktifkan tujuan strategis mereka. Selain itu, aktor tersebut diketahui menargetkan perangkat Linux, macOS, dan Android.

WinDealer, pada bagiannya, telah dikirimkan di masa lalu melalui situs web yang bertindak sebagai lubang berair dan dalam bentuk aplikasi trojan yang menyamar sebagai pesan instan dan layanan hosting video seperti Tencent QQ dan Youku.

Selengkapnya: The Hacker News

10 aplikasi target trojan perbankan Android teratas dengan 1 miliar unduhan

by

Sepuluh trojan mobile banking Android paling produktif menargetkan 639 aplikasi keuangan yang secara kolektif memiliki lebih dari satu miliar unduhan di Google Play Store.

Trojan mobile banking bersembunyi di balik aplikasi yang tampaknya tidak berbahaya seperti alat produktivitas dan game dan biasanya menyelinap ke Google Play Store, toko aplikasi resmi Android.

Setelah menginfeksi perangkat, mereka melapisi halaman login di atas aplikasi perbankan dan keuangan yang sah untuk mencuri kredensial akun, memantau pemberitahuan untuk mengambil OTP, dan bahkan melakukan penipuan keuangan di perangkat dengan menyalahgunakan layanan Aksesibilitas untuk melakukan tindakan sebagai pengguna.

Menurut sebuah laporan oleh Zimperium yang memberikan gambaran umum tentang ekosistem Android pada kuartal pertama tahun 2021, masing-masing trojan ini telah mengambil tempat unik di pasar dengan berapa banyak organisasi yang mereka targetkan serta fungsionalitas yang membedakan mereka dari yang lain.

Temuan ini sangat mengkhawatirkan, karena menurut survei tahun 2021, tiga dari empat responden di AS menggunakan aplikasi perbankan untuk melakukan aktivitas perbankan harian mereka, memberikan kumpulan besar target untuk trojan ini.

Amerika Serikat menduduki puncak daftar negara yang paling ditargetkan memiliki 121 aplikasi yang ditargetkan. Inggris mengikuti dengan 55 aplikasi, Italia dengan 43, Turki dengan 34, Australia dengan 33, dan Prancis memiliki 31.

Trojan yang menargetkan sebagian besar aplikasi adalah Teabot, mencakup 410 dari 639 aplikasi yang dilacak, sementara Exobot juga menargetkan kumpulan 324 aplikasi yang cukup besar.

Aplikasi yang ditargetkan dengan unduhan terbanyak adalah PhonePe yang sangat populer di India, memiliki 100 juta unduhan dari Play Store.

Binance, aplikasi pertukaran cryptocurrency populer, menghitung 50 juta unduhan. Cash App, layanan pembayaran seluler yang mencakup AS dan Inggris, juga memiliki 50 juta pemasangan melalui Play Store. Keduanya juga menjadi sasaran beberapa trojan perbankan, bahkan jika mereka tidak menawarkan layanan perbankan konvensional.

Aplikasi yang paling banyak diincar adalah BBVA, portal perbankan online global dengan puluhan juta unduhan. Aplikasi ini ditargetkan oleh tujuh dari sepuluh trojan perbankan paling aktif.

Trojan perbankan paling produktif pada kuartal pertama tahun ini, menurut Zimperium, adalah sebagai berikut.

BianLian – Menargetkan Binance, BBVA, dan berbagai aplikasi Turki. Versi baru dari trojan yang ditemukan pada April 2022 menampilkan bypassing photoTAN, yang dianggap sebagai metode autentikasi yang kuat dalam perbankan online.
Cabassous – Menargetkan Barclays, CommBank, Halifax, Lloys, dan Santander . Menggunakan algoritma pembuatan domain (DGA) untuk menghindari deteksi dan penghapusan.
Coper – Menargetkan BBVA, Caixa Bank, CommBank, dan Santander. Ini secara aktif memantau “daftar yang diizinkan” pengoptimalan baterai perangkat dan memodifikasinya untuk membebaskan diri dari pembatasan.
EventBot – Menargetkan Barclays, Intensa, BancoPosta, dan berbagai aplikasi Italia lainnya. Itu bersembunyi sebagai Microsoft Word atau Adobe Flash, dan dapat mengunduh modul malware baru dari sumber jarak jauh.
Exobot – Menargetkan PayPal, Binance, Aplikasi Tunai, Barclays, BBVA, dan CaixaBank. Ini sangat kecil dan ringan karena menggunakan pustaka sistem bersama dan mengambil overlay dari C2 hanya jika diperlukan.
FluBot – BBVA, Caixa, Santander, dan berbagai aplikasi Spanyol lainnya yang ditargetkan. Trojan botnet terkenal karena distribusinya yang cepat menggunakan SMS dan daftar kontak perangkat yang disusupi.
Medusa – Menargetkan BBVA, CaixaBank, Ziraat, dan berbagai aplikasi bank Turki. Itu dapat melakukan penipuan pada perangkat dengan menyalahgunakan layanan aksesibilitas untuk bertindak sebagai pengguna biasa atas nama korban.
Sharkbot – Menargetkan Binance, BBVA, dan Coinbase. Ini menampilkan serangkaian kemampuan penghindaran deteksi dan anti-penghapusan yang kaya, serta enkripsi komunikasi C2 yang kuat.
Teabot – Menargetkan PhonePe, Binance, Barclays, Crypto.com, Postepay, Bank of America, Capital One, Citi Mobile, dan Coinbase. Ini fitur keylogger khusus untuk setiap aplikasi, dan memuatnya ketika pengguna meluncurkannya.
Xenomorph – Menargetkan BBVA dan berbagai aplikasi bank berbasis UE. Itu juga dapat berfungsi sebagai penetes untuk mengambil malware tambahan pada perangkat yang disusupi.
Seperti menjadi jelas dari atas, masing-masing dari sepuluh trojan perbankan paling produktif mempertahankan cakupan penargetan yang relatif sempit, sehingga ekosistem seimbang dan operator dapat memilih alat yang cocok dengan audiens target mereka.

Untuk melindungi dari semua ancaman ini, perbarui perangkat Anda, hanya instal aplikasi dari Google Play Store, periksa ulasan pengguna, kunjungi situs pengembang, dan pertahankan jumlah aplikasi yang diinstal di perangkat Anda seminimal mungkin.

Sumber: Bleeping Computer

Evil Corp beralih ke ransomware LockBit untuk menghindari sanksi

by

Kelompok kejahatan dunia maya Evil Corp kini telah beralih untuk menyebarkan ransomware LockBit pada jaringan target untuk menghindari sanksi yang dijatuhkan oleh Kantor Pengawasan Aset Asing (OFAC) Departemen Keuangan AS.

Aktif sejak 2007, Evil Corp (alias INDRIK SPIDER atau geng Dridex) dikenal karena mendorong malware Dridex dan kemudian beralih ke “bisnis” ransomware.

Geng mulai dengan ransomware Locky dan kemudian menyebarkan jenis ransomware mereka sendiri yang dikenal sebagai BitPaymer hingga 2019.

Sejak AS memberikan sanksi kepada mereka pada Desember 2019 karena menggunakan Dridex untuk menyebabkan kerugian finansial lebih dari $100 juta, grup tersebut beralih untuk memasang ransomware WastedLocker baru pada Juni 2020.

Dari Maret 2021, Evil Corp pindah ke jenis lain yang dikenal sebagai Hades ransomware, varian 64-bit dari WastedLocker yang ditingkatkan dengan kebingungan kode tambahan dan perubahan fitur kecil.

Sejak itu, para pelaku ancaman juga meniru kelompok peretas PayloadBin dan menggunakan jenis ransomware lain yang dikenal sebagai Macaw Locker dan Phoenix CryptoLocker.

Seperti yang baru-baru ini diamati oleh analis ancaman Mandiant, geng kejahatan dunia maya kini telah melakukan upaya lain untuk menjauhkan diri dari alat yang diketahui untuk memungkinkan korban membayar uang tebusan tanpa menghadapi risiko yang terkait dengan pelanggaran peraturan OFAC,

Sebuah cluster aktivitas yang dilacak oleh Mandiant sebagai UNC2165 (sebelumnya menyebarkan Hades ransomware dan ditautkan ke Evil Corp) sekarang menyebarkan ransomware sebagai afiliasi LockBit.

“Selain itu, pembaruan kode yang sering dan rebranding HADES membutuhkan sumber daya pengembangan dan masuk akal bahwa UNC2165 melihat penggunaan LOCKBIT sebagai pilihan yang lebih hemat biaya.”

Aktivitas ransomware LockBit (ID-Ransomware)

Taktik baru bertindak sebagai afiliasi operasi Ransomware sebagai Layanan (RaaS) kemungkinan akan memungkinkan mereka menginvestasikan waktu yang dibutuhkan untuk pengembangan ransomware ke dalam memperluas operasi penyebaran ransomware geng.

Teori lain adalah bahwa peralihan ke alat jahat orang lain dapat memberi Evil Corp sumber daya gratis yang cukup untuk mengembangkan jenis ransomware baru dari awal, sehingga mempersulit peneliti keamanan untuk menautkan ke operasi geng sebelumnya.

“Kami berharap para pelaku ini serta pihak lain yang terkena sanksi di masa depan mengambil langkah-langkah seperti ini untuk mengaburkan identitas mereka agar tidak menjadi faktor pembatas untuk menerima pembayaran dari para korban,” tutup Mandiant.

Sumber: Bleeping Computer