Geng ransomware REvil

Aktor yang mengaku sebagai kelompok ransomware yang sudah mati menargetkan salah satu pelanggan Akami dengan serangan Layer 7, menuntut pembayaran pemerasan dalam Bitcoin.

Geng ransomware REvil yang mati mengklaim bertanggung jawab atas kampanye penolakan layanan terdistribusi (DDoS) baru-baru ini terhadap pelanggan perhotelan penyedia jaringan cloud Akamai. Namun, sangat mungkin serangan itu bukan kebangkitan kelompok penjahat dunia maya yang terkenal, tetapi operasi peniru, kata para peneliti.

Peneliti Akamai telah memantau serangan DDoS sejak 12 Mei, ketika seorang pelanggan memperingatkan Tim Tanggap Insiden Keamanan (SIRT) perusahaan tentang upaya serangan oleh kelompok yang mengaku terkait dengan REvil, Akamai mengungkapkan dalam sebuah posting blog Rabu.

Namun, sementara penyerang mengklaim sebagai REvil, tidak jelas saat ini apakah kelompok ransomware yang mati bertanggung jawab, karena upaya tersebut tampaknya lebih kecil daripada kampanye serupa sebelumnya yang diklaim oleh kelompok tersebut, kata para peneliti.

Tampaknya juga ada motivasi politik di balik kampanye DDoS, yang tidak konsisten dengan taktik REvil sebelumnya, di mana kelompok tersebut mengklaim bahwa itu dimotivasi semata-mata oleh keuntungan finansial.

REvil, yang menjadi gelap pada Juli 2021, adalah grup ransomware-as-a-service (RaaS) yang berbasis di Rusia yang terkenal dengan serangan profil tinggi terhadap Kaseya, JBS Foods, dan Apple Computer, antara lain.

Akhirnya, pada Maret 2022, Rusia—yang hingga saat itu tidak berbuat banyak untuk menggagalkan operasi REvil—mengklaim bertanggung jawab untuk sepenuhnya membubarkan kelompok tersebut atas permintaan pemerintah AS, dengan menahan anggota individunya.

Salah satu dari mereka yang ditangkap pada saat itu berperan penting dalam membantu kelompok ransomware DarkSide dalam serangan yang melumpuhkan pada Mei 2021 terhadap Colonial Pipeline, yang mengakibatkan perusahaan membayar uang tebusan sebesar $5 juta.

Serangan DDoS baru-baru ini—yang akan menjadi poros REvil—terdiri dari permintaan HTTP GET sederhana di mana jalur permintaan berisi pesan ke target yang berisi pesan 554-byte yang menuntut pembayaran, kata para peneliti. Lalu lintas dalam serangan pada Layer 7 jaringan—lapisan interaksi manusia-komputer tempat aplikasi mengakses layanan jaringan—memuncak pada 15 kRps.

Korban diarahkan untuk mengirim pembayaran BTC ke alamat dompet yang “saat ini tidak memiliki riwayat dan tidak terkait dengan BTC yang diketahui sebelumnya,” tulis Cashdollar.

Serangan itu juga memiliki permintaan geospesifik tambahan yang meminta perusahaan yang ditargetkan untuk menghentikan operasi bisnis di seluruh negara, katanya. Secara khusus, penyerang mengancam akan meluncurkan serangan lanjutan yang akan memengaruhi operasi bisnis global jika permintaan ini tidak dipenuhi dan uang tebusan tidak dibayarkan dalam jangka waktu tertentu.

Modus operandi khas REvil adalah untuk mendapatkan akses ke jaringan atau organisasi target dan mengenkripsi atau mencuri data sensitif, menuntut pembayaran untuk mendekripsi atau mencegah kebocoran informasi kepada penawar tertinggi atau mengancam pengungkapan publik atas informasi sensitif atau merusak, katanya.

Teknik yang terlihat dalam serangan DDoS “menyimpang dari taktik normal mereka,” tulis Cashdollar. “Geng REvil adalah penyedia RaaS, dan tidak ada ransomware dalam insiden ini,” tulisnya.

Namun, ada kemungkinan bahwa REvil sedang mencari kebangkitan dengan mencelupkan kakinya ke dalam model bisnis baru pemerasan DDoS, katanya. Apa yang lebih mungkin adalah bahwa penyerang dalam kampanye hanya menggunakan nama kelompok penjahat dunia maya yang terkenal untuk menakut-nakuti organisasi yang ditargetkan agar memenuhi tuntutan mereka, kata Cashdollar.

Sumber: Threat Post