Cara Menghindari Korban Jatuh ke Rebranding PayOrGrief Berikutnya

Cara Menghindari Korban Jatuh ke Rebranding PayOrGrief Berikutnya

Pada Juli 2021, kota terbesar kedua di Yunani menjadi korban serangan siber yang didalangi oleh kelompok ransomware amatir. PayOrGrief tampaknya telah ada hanya beberapa minggu ketika menerobos sistem keamanan Thessaloniki.

Kelompok itu mengekstrak dan mengenkripsi banyak file sebelum mengeluarkan permintaan tebusan $ 20 juta yang menghancurkan. Tidak yakin seberapa jauh pelanggaran itu terjadi, tim keamanan kotamadya terpaksa menutup semua layanan situs net Thessaloniki yang menghadap publik dan meluncurkan penyelidikan penuh terhadap pelanggaran tersebut sebelum bahkan dapat mempertimbangkan apakah akan membayar uang tebusan yang sangat besar.

Temukan Perbedaannya: PayOrGrief dan DoppelPaymer
Tidak butuh waktu lama bagi PayOrGrief untuk mendapatkan reputasi sebagai gangguan. Penggunaan taktik ransomware pemerasan ganda telah terbukti efektif dalam menargetkan organisasi di semua jenis industri, termasuk banyak produsen dan kota seperti Thessaloniki.

Kebaruan operasi PayOrGrief membuatnya mudah untuk mengalahkan alat keamanan berdasarkan serangan historis, terutama dalam beberapa minggu pertama. Pakar keamanan memiliki kecurigaan mereka, bagaimanapun, bahwa PayOrGrief lebih dari kelompok pemula terbaru yang bergabung dengan adegan ransomware. Buku pedoman serangannya menyarankan pengalaman.

Penyelidikan lebih lanjut kurang lebih menegaskan bahwa PayOrGrief bukanlah grup baru tetapi rebranding dari grup lama yang disebut DoppelPaymeryang mengakhiri operasinya pada Mei 2021. Dengan moniker PayOrGrief yang baru dan serangkaian taktik, teknik, dan prosedur (TTPs) yang sedikit berubah, grup tersebut telah melihat kesuksesan dengan pembayaran tebusan lebih dari $10 juta.

Keberhasilan rebranding PayOrGrief menunjukkan betapa mudahnya sebuah grup dapat mengaburkan dirinya dari pandangan alat berdasarkan knowledge historis. Mengubah TTP-nya memungkinkan PayOrGrief mengalahkan alat keamanan, tetapi perubahan ini jauh dari substansial, dan bagi para analis, pedoman DoppelPaymer masih terlihat jelas.

Bagaimana PayOrGrief Mengatur Serangan
Buku pedoman ini dibuka ketika, pada Juli 2021, PayOrGrief menargetkan perusahaan manufaktur Eropa. Perusahaan yang dimaksud telah menerapkan teknologi kecerdasan buatan (AI) belajar mandiri Darktrace, yang terus memperbarui pemahamannya tentang bisnis digital dan mencari perilaku anomali yang mengindikasikan ancaman. Teknologi ini mampu mengungkap siklus hidup serangan PayOrGrief.

PayOrGrief sering memulai serangannya dengan e-mail phishing yang berisi pembaruan palsu atau dokumen berbahaya yang dapat disuntikkan jenis malware seperti Dridex ke dalam perangkat sasaran. Dalam kasus ini, empat perangkat disusupi, kemungkinan oleh satu kampanye phishing, dan mulai membuat koneksi perintah-dan-kontrol (C2) ke beberapa IP eksternal yang langka.

Koneksi ini, dienkripsi dengan sertifikat SSL yang tidak legitimate, diikuti dengan unggahan knowledge sebesar 50MB ke server perusahaan perusahaan. Dengan posisi yang meningkat ini, penyerang membuat suar keep-alive dan kemudian siap untuk memulai tahap eksfiltrasi dari serangan ransomware pemerasan ganda ini.

Ringkasan insiden yang dibuat oleh AI, menunjukkan eksfiltrasi knowledge dari satu perangkat. (Sumber: Darktrace)

Hanya dalam beberapa jam, lebih dari 100GB knowledge dieksfiltrasi melalui HTTPS ke platform penyimpanan file Mega. Para penyerang telah menargetkan lebih dari ini, tetapi pertahanan otonom perusahaan menghalangi mereka.

Setelah menyadari bahwa perilaku ini sangat tidak biasa dalam konteks “pola kehidupan” regular bisnis, AI dapat menghentikan ancaman pada tahap paling awal jika tidak sebagian besar diblokir dari intervensi oleh pengaturan konfigurasi perusahaan. AI mengambil tindakan terbatas yang diizinkan dan membatasi ruang lingkup eksfiltrasi knowledge. Dengan mendeteksi dan memblokir aktivitas file anomali, itu menghalangi beberapa upaya eksfiltrasi, sambil terus memantau bagian-bagian dari actual digital di mana ia tidak dapat mengambil tindakan langsung.

Para penyerang terus bergerak secara lateral melalui kawasan digital, menggunakan RDP dan SMB untuk pengintaian inner dan mengeksploitasi hak dan proses administratif. Dan kemudian, hanya 10 jam setelah perangkat pertama yang disusupi mulai membuat koneksi berbahaya, PayOrGrief menyebarkan ransomware-nya.

Enkripsi menyebar ke seluruh perusahaan, dengan penulisan SMB dengan ekstensi file “.pay0rgrief” terlihat di 137 perangkat. Sekali lagi, sistem keamanan siber AI mampu melindungi perangkat tertentu dari aktivitas file yang tidak wajar dan mempersempit cakupan serangan secara signifikan. Melalui setiap tahap serangan — termasuk C2, gerakan lateral, pengintaian inner, eksfiltrasi, dan enkripsi — AI menyarankan tindakan untuk memblokir koneksi tertentu dan menegakkan pola kehidupan perangkat untuk menghentikan ancaman tanpa mengganggu bisnis itu sendiri.

Menghentikan Nama Besar Berikutnya di Ransomware
PayOrGrief bukan lagi nama yang asing, fakta yang sekarang akan tercermin dalam OSINT dari banyak solusi keamanan siber berbasis aturan. Tetapi jika organisasi melanjutkan pendekatan ini, melihat serangan historis dan terus-menerus mengejar ketinggalan dengan jenis ransomware dan TTP terbaru, mereka akan selalu rentan terhadap apa pun yang akan terjadi selanjutnya. Seperti yang ditunjukkan oleh kecepatan dan kemanjuran rebranding DoppelPaymer, berfokus pada kekhususan penyerang adalah solusi yang picik.

Sebagai gantinya, bisnis harus mengadopsi alat keamanan siber yang menghentikan ancaman terlepas dari apakah mereka pernah terlihat sebelumnya. Dengan terus memperbarui pemahaman mereka tentang bagaimana bisnis Anda seharusnya berperilaku regular, solusi berbasis AI seperti Darktrace dapat mengumpulkan anomali untuk mendeteksi serangan yang muncul dan bahkan mengambil tindakan otonom untuk menghentikannya. Itu berarti tidak peduli apa yang mereka sebut diri mereka sendiri, atau bagaimana mereka beroperasi, penyerang akan terlihat apa adanya — dan dihentikan.

Total
0
Shares
Leave a Reply

Your email address will not be published.

Related Posts