Pada KTT Intelijen Ancaman Siber SANS baru-baru ini, dua pimpinan keamanan siber CrowdStrike, Peneliti Keamanan Senior Sergei Frankoff dan Analis Intelijen Senior Eric Loui, memberikan perincian tentang aktor ransomware besar yang muncul yang mereka sebut Sprite Spider.
Seperti banyak penyerang ransomware lainnya, kelompok di balik serangan Sprite Spider telah berkembang pesat dalam kecanggihan dan kapasitas kerusakan sejak 2015.
Sprite Spider mulai menggunakan Trojan perbankan yang disebut Shifu pada tahun 2015, menambahkan pemuat malware bernama Vatet sekitar tahun 2017. Pada tahun 2018, geng tersebut menyebarkan Trojan akses jarak jauh yang disebut PyXie. Pada tahun 2019, grup tersebut berevolusi ke titik di mana ia menyebarkan ransomware yang disebut DEFRAY777.
Pada titik ini, peneliti CrowdStrike menghubungkan Shifu, Vatet, dan PyXie dengan serangan ransomware DEFRAY777. Mereka menyadari bahwa semua aktivitas dari komponen ini terkait dengan satu pelaku ancaman, yang telah terbang di bawah radar.
Geng tersebut seringkali dapat lolos dari deteksi terutama karena kodenya terlihat jinak, bersembunyi di proyek sumber terbuka seperti Notepad++.
Ancaman nyata dari Sprite Spider meningkat pada Juli 2020 ketika mulai menargetkan host ESXi, yang biasanya digunakan oleh organisasi besar yang menggunakan teknologi bare-metal hypervisor yang dikembangkan oleh VMware untuk mengelola beberapa mesin virtual.
Dengan menargetkan mesin EXSi, Sprite Spider tidak harus menerapkan ransomware di seluruh lingkungan organisasi — mereka hanya harus menargetkan beberapa server untuk mengenkripsi sebagian besar infrastruktur TI virtual.
Selengkapnya: CSO Online