Google mengatakan beberapa mantan anggota geng kejahatan dunia maya Conti, yang sekarang menjadi bagian dari kelompok ancaman yang dilacak sebagai UAC-0098, menargetkan organisasi Ukraina dan organisasi non-pemerintah (LSM) Eropa.
UAC-0098 adalah broker akses awal yang dikenal menggunakan trojan perbankan IcedID untuk memberikan akses kepada grup ransomware ke sistem yang disusupi dalam jaringan perusahaan.
Grup Analisis Ancaman (TAG), tim khusus pakar keamanan yang bertindak sebagai kekuatan pertahanan bagi pengguna Google dari serangan yang disponsori negara, mulai melacak grup ancaman ini pada bulan April setelah mendeteksi kampanye phishing yang mendorong pintu belakang AnchorMail yang terkait dengan Conti.
Serangan kelompok ini diamati antara pertengahan April hingga pertengahan Juni, dengan seringnya perubahan taktik, teknik, dan prosedur (TTP), perkakas, dan umpan, sementara menargetkan organisasi Ukraina (seperti jaringan hotel) dan menyamar sebagai Polisi Siber Nasional dari Ukraina atau perwakilan dari Elon Musk dan StarLink.
Dalam kampanye berikutnya, UAC-0098 terlihat mengirimkan muatan berbahaya IcedID dan Cobalt Strike dalam serangan phishing yang menargetkan organisasi Ukraina dan LSM Eropa.
Tautan ke grup kejahatan dunia maya Conti
Google TAG mengatakan atribusinya didasarkan pada beberapa tumpang tindih antara UAC-0098, Trickbot, dan grup kejahatan dunia maya Conti.
“TAG menilai UAC-0098 bertindak sebagai perantara akses awal untuk berbagai kelompok ransomware termasuk Quantum dan Conti, geng kejahatan dunia maya Rusia yang dikenal sebagai FIN12 / WIZARD SPIDER.
“Aktivitas UAC-0098 adalah contoh representatif dari garis kabur antara kelompok yang bermotivasi finansial dan yang didukung pemerintah di Eropa Timur, yang menggambarkan tren pelaku ancaman yang mengubah penargetan mereka agar selaras dengan kepentingan geopolitik regional.”
Aktivitas kelompok ancaman yang terdeteksi dan diungkapkan hari ini oleh Google juga sejalan dengan laporan sebelumnya dari IBM Security X-Force dan CERT-UA, yang juga mengaitkan serangan terhadap organisasi Ukraina dan entitas pemerintah dengan geng kejahatan dunia maya TrickBot dan Conti.
Beberapa geng ransomware yang disusupi oleh anggota Conti termasuk BlackCat, Hive, AvosLocker, Hello Kitty, dan operasi Quantum yang baru-baru ini dihidupkan kembali.
Anggota Conti lainnya sekarang menjalankan operasi pemerasan data mereka sendiri yang tidak mengenkripsi data, seperti BlackByte, Karakurt, dan kolektif Bazarcall.
Selengkapnya : Bleeping Computer
