Evil Corp dan Conti Ransomare Terkait dengan Pelanggaran Data Cisco

illustrasi

Cyberthreat.id – Sebuah laporan baru oleh penyedia layanan pure-play managed detection and response (MDR) eSentire menghubungkan pelanggaran data yang memengaruhi sistem Cisco Talos pada bulan Mei dengan grup afiliasi Evil Corp.

Dikutip dari Info Security Magazine, Threat Response Unit (TRU) eSentire menemukan bahwa infrastruktur TI yang digunakan untuk menyerang Cisco juga digunakan dalam upaya kompromi salah satu kliennya pada April 2022.

"TRU percaya bahwa peretas yang menggunakan alias, mx1r, adalah penjahat dunia maya di balik serangan itu," tulis eSentire.

Menurut perusahaan keamanan Mandiant, pelaku ancaman yang dikenal sebagai mx1r akan menjadi anggota grup afiliasi Evil Corp yang disebut UNC2165. Untuk konteksnya, dalam sebuah nasihat yang diterbitkan setelah serangan Mei, Cisco mengaitkan pelanggaran mereka dengan aktor ancaman yang terkait dengan kelompok ancaman Lapsus$, operator ransomware Yanluowang, dan kelompok yang disebut Mandiant sebagai UNC2447.

Sementara itu, penasihat MDR mengklarifikasi bahwa sementara taktik, teknik, dan prosedur (TTP) serangan terhadap perusahaan manajemen tenaga kerja cocok dengan Evil Corp, infrastruktur yang digunakan cocok dengan afiliasi Conti ransomware, yang telah terlihat menyebarkan muatan ransomware Hive dan Yanluowang.

"Melihat berbagai detail teknis dari infrastruktur berbahaya yang dimanfaatkan, TRU menemukan beberapa contoh tambahan infrastruktur Cobalt Strike," tulis eSentire.

TRU mengatakan pihaknya telah melacak klaster infrastruktur ini sebagai HiveStrike. Grup Hive pertama kali muncul di kancah ransomware pada Juni 2021 dan dengan cepat mendapatkan reputasi untuk menyerang target penting termasuk rumah sakit, perusahaan energi, dan perusahaan IT.

Menurut laporan eSentire, HiveStrike juga memiliki beberapa kesamaan dengan infrastruktur ShadowStrike yang dilaporkan oleh TRU awal tahun ini dengan afiliasi ke Conti.

"Tampaknya tidak mungkin, tetapi bukan tidak mungkin bahwa Conti akan meminjamkan infrastrukturnya ke Evil Corp," bunyi nasihat itu.

eSentire mengakhiri nasihatnya dengan memberikan serangkaian saran untuk membantu perusahaan melindungi sistem mereka dari serangan siber. Ini termasuk memiliki salinan cadangan offline dari semua file penting, menggunakan otentikasi multi-faktor (MFA) dan hanya mengizinkan administrator untuk mengakses peralatan jaringan menggunakan layanan VPN.