FBI dan CISA Peringatkan Ancaman Ransomware BlackSuit

Ransomware BlackSuit kini mengancam dengan tebusan yang sangat tinggi, mencapai $500 juta, dengan beberapa tuntutan individu bahkan mencapai $60 juta. Ini berdasarkan peringatan terbaru dari Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) dan Biro Investigasi Federal (FBI).

Menurut laporan tersebut, "Pelaku BlackSuit menunjukkan fleksibilitas dalam bernegosiasi mengenai jumlah tebusan," jelas CISA dan FBI. "Jumlah tebusan tidak dicantumkan dalam nota awal, melainkan harus dibicarakan langsung dengan pelaku melalui URL .onion (dapat diakses melalui browser Tor) yang diberikan setelah proses enkripsi."

Serangan ransomware ini telah menargetkan berbagai sektor infrastruktur kritis, termasuk fasilitas komersial, layanan kesehatan, fasilitas pemerintah, dan industri manufaktur utama. BlackSuit merupakan pengembangan dari ransomware Royal, yang menggunakan akses awal dari email phishing untuk menonaktifkan antivirus dan mencuri data sensitif sebelum akhirnya mengenkripsi sistem.

Jalur infeksi umum lainnya meliputi penggunaan Remote Desktop Protocol (RDP), eksploitasi aplikasi rentan di internet, dan akses yang dibeli melalui broker akses awal (IABs). Pelaku BlackSuit juga diketahui memanfaatkan perangkat lunak pemantauan jarak jauh (RMM) sah serta malware seperti SystemBC dan GootLoader untuk mempertahankan kendali di jaringan korban.

Menurut laporan, "Pelaku BlackSuit telah menggunakan SharpShares dan SoftPerfect NetWorx untuk memetakan jaringan korban," kata kedua lembaga tersebut. "Selain itu, alat pencuri kredensial seperti Mimikatz dan perangkat pengumpul kata sandi dari Nirsoft juga ditemukan di sistem korban. Alat seperti PowerTool dan GMER sering digunakan untuk menghentikan proses sistem."

CISA dan FBI juga melaporkan peningkatan kasus di mana korban menerima komunikasi telepon atau email dari pelaku BlackSuit mengenai tebusan, suatu taktik yang semakin umum digunakan oleh geng ransomware untuk menambah tekanan.

Sophos, perusahaan keamanan siber, mencatat dalam laporan terbarunya bahwa pelaku ancaman tidak hanya mengancam organisasi secara langsung tetapi juga mencoba menekan korban sekunder. "Misalnya, pada Januari 2024, penyerang mengancam akan 'swat' pasien rumah sakit kanker dan mengirimkan pesan ancaman kepada pasangan seorang CEO," ungkap Sophos.

Tak hanya itu, pelaku ancaman juga mengklaim menilai data yang dicuri untuk menemukan bukti aktivitas ilegal, ketidakpatuhan terhadap regulasi, dan ketidaksesuaian keuangan, bahkan mencurigai seorang karyawan di organisasi yang diserang mencari materi penyalahgunaan seksual anak melalui riwayat browser mereka.

Metode agresif ini tidak hanya bertujuan untuk memaksa korban membayar, tetapi juga untuk merusak reputasi mereka dengan tuduhan tidak etis atau lalai.

Situasi ini muncul di tengah kemunculan keluarga ransomware baru seperti Lynx, OceanSpy, Radar, Zilla (varian ransomware Crysis/Dharma), dan Zola (varian ransomware Proton), meskipun kelompok ransomware yang sudah ada terus memperbarui metode mereka dengan alat-alat baru.

Contoh terbaru adalah Hunters International, yang terdeteksi menggunakan malware berbasis C# bernama SharpRhino sebagai vektor infeksi awal dan trojan akses jarak jauh (RAT). Malware ini, yang merupakan varian dari keluarga ThunderShell, disebarkan melalui domain yang mirip dengan alat administrasi jaringan populer, Angry IP Scanner.

Kampanye malvertising juga telah terdeteksi menyebarkan malware ini hingga Januari 2024, menurut eSentire. RAT sumber terbuka ini juga dikenal dengan nama Parcel RAT dan SMOKEDHAM.

"Begitu dijalankan, malware ini membangun ketahanan dan memberikan akses jarak jauh kepada penyerang ke perangkat, yang kemudian digunakan untuk melanjutkan serangan," kata Michael Forret dari Quorum Cyber. "Dengan teknik baru yang belum pernah terlihat sebelumnya, malware ini dapat memperoleh izin tinggi di perangkat untuk memastikan penyerang dapat melanjutkan penargetan dengan gangguan minimal."

Hunters International diperkirakan merupakan rebranding dari kelompok ransomware Hive yang sudah tidak aktif. Dikenal sejak Oktober 2023, kelompok ini telah mengklaim bertanggung jawab atas 134 serangan dalam tujuh bulan pertama tahun 2024.