Peretas Iran Memanfaatkan BitLocker dan DiskCryptor dalam Serangan Ransomware

  • Bagikan
Peretas Iran Memanfaatkan BitLocker dan DiskCryptor dalam Serangan Ransomware

Beritaini.top Peretas Iran Memanfaatkan BitLocker dan DiskCryptor dalam Serangan Ransomware

Peretas Iran Memanfaatkan BitLocker dan DiskCryptor dalam Serangan Ransomware

Grup ransomware dengan koneksi operasional Iran telah dikaitkan dengan serangkaian serangan malware enkripsi file yang menargetkan organisasi di Israel, AS, Eropa, dan Australia.

Perusahaan keamanan siber Secureworks mengaitkan penyusupan tersebut dengan aktor ancaman yang dilacaknya di bawah moniker Cobalt Mirage, yang dikatakan terkait dengan kru peretas Iran yang dijuluki Cobalt Illusion (alias APT35, Charming Kitten, Newscaster, atau Phosphorus).

“Elemen aktivitas Cobalt Mirage telah dilaporkan sebagai Fosfor dan TunnelVision,” Secureworks Counter Threat Unit (CTU) dikatakan dalam laporan yang dibagikan kepada The Hacker News.

Pelaku ancaman dikatakan telah melakukan dua rangkaian intrusi yang berbeda, salah satunya terkait dengan serangan ransomware oportunistik yang melibatkan penggunaan alat yang sah seperti BitLocker dan DiskCryptor untuk keuntungan finansial.

Serangkaian serangan kedua lebih bertarget, dilakukan dengan tujuan utama mengamankan akses dan mengumpulkan intelijen, sementara juga menyebarkan ransomware dalam kasus-kasus tertentu.

1652386187 734 Peretas Iran Memanfaatkan BitLocker dan DiskCryptor dalam Serangan Ransomware

Rute akses awal difasilitasi dengan memindai server yang menghadap ke internet yang rentan terhadap kelemahan yang dipublikasikan pada peralatan Fortinet dan Microsoft Exchange Server untuk menjatuhkan web shell dan menggunakannya sebagai saluran untuk bergerak secara lateral dan mengaktifkan ransomware.

Namun, cara yang tepat untuk memicu fitur enkripsi volume penuh masih belum diketahui, kata Secureworks, merinci serangan Januari 2022 terhadap organisasi filantropi AS yang tidak disebutkan namanya.

Keamanan cyber

Penyusupan lain yang ditujukan ke jaringan pemerintah lokal AS pada pertengahan Maret 2022 diyakini telah memanfaatkan kelemahan Log4Shell dalam infrastruktur VMware Horizon target untuk melakukan operasi pengintaian dan pemindaian jaringan.

“Insiden Januari dan Maret melambangkan gaya serangan yang berbeda yang dilakukan oleh Cobalt Mirage,” para peneliti menyimpulkan.

“Sementara para pelaku ancaman tampaknya memiliki tingkat keberhasilan yang wajar untuk mendapatkan akses awal ke berbagai target, kemampuan mereka untuk memanfaatkan akses itu untuk keuntungan finansial atau pengumpulan intelijen tampaknya terbatas.”

  • Bagikan

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.