Symantec, sebuah divisi dari Broadcom Software, melacak berbagai ancaman ransomware; namun, tiga kelompok ransomware berikut diamati di sebagian besar serangan baru-baru ini yaitu: Hive, Conti, dan Avoslocker.
Mirip dengan banyak keluarga ransomware lainnya, Hive, Conti, dan Avoslocker mengikuti model bisnis ransomware-as-a-service (RaaS). Dalam model RaaS, operator ransomware mempekerjakan afiliasi yang bertanggung jawab meluncurkan serangan ransomware atas nama mereka. Dalam kebanyakan kasus, afiliasi tetap berpegang pada buku pedoman yang berisi langkah-langkah serangan terperinci yang ditetapkan oleh operator ransomware.
Afiliasi untuk operator ransomware Hive, Conti, dan Avoslocker menggunakan berbagai teknik untuk mendapatkan pijakan awal di jaringan korban. Beberapa teknik tersebut antara lain: spear phishing, kredensial RDP yang lemah, dan eksploitasi kelemahan.
Setelah mendapatkan akses awal, Symantec telah mengamati afiliasi untuk ketiga keluarga ransomware menggunakan perangkat lunak pihak ketiga seperti AnyDesk dan ConnectWise Control (sebelumnya dikenal sebagai ScreenConnect) untuk mempertahankan akses ke jaringan korban.
Selama fase penemuan, pelaku ransomware mencoba menyapu jaringan korban untuk mengidentifikasi target potensial.
Mimikatz adalah alat masuk untuk sebagian besar grup ransomware dan Hive, Conti, dan Avoslocker tidak terkecuali. Peneliti telah mengamati mereka menggunakan versi PowerShell dari Mimikatz serta versi PE dari alat tersebut. Ada juga contoh di mana aktor ancaman secara langsung memuat versi PowerShell dari Mimikatz dari repositori GitHub.
Penyerang menggunakan alat seperti PsExec, WMI, dan BITSAdmin untuk menyebarkan dan mengeksekusi ransomware secara lateral di jaringan korban. Kami juga telah mengamati penyerang menggunakan beberapa teknik lain untuk bergerak secara lateral melintasi jaringan.
Untuk menghindar deteksi keamanan campur tangan dengan layanan keamanan menggunakan perintah net, taskkill, dan sc untuk menonaktifkan atau menghentikannya.
Musuh cenderung menonaktifkan atau mengutak-atik pengaturan sistem operasi untuk mempersulit administrator memulihkan data. Menghapus salinan bayangan adalah taktik umum yang dilakukan aktor ancaman sebelum memulai proses enkripsi. Mereka melakukan tugas ini dengan menggunakan alat seperti Vssadmin atau WMIC
Penyerang biasanya mengekstrak data penting dari lingkungan korban sebelum mengenkripsinya.
TTP yang diuraikan dalam blog ini adalah cuplikan lanskap ancaman ransomware saat ini. TTP yang digunakan oleh pelaku ancaman ini terus berkembang, dengan kelompok yang terus-menerus mengubah metode mereka dalam upaya untuk mengungguli pertahanan keamanan target mereka. Dengan demikian, organisasi perlu waspada dan menggunakan pendekatan keamanan berlapis-lapis.
Selengkapnya: Symantec
