Google: Mantan anggota Geng Ransomware Conti Kini Targetkan Ukraina

illustrasi

Cyberthreat.id – Grup Analisis Ancaman (TAG) Google mengungkapkan bahwa beberapa mantan anggota geng ransomware Conti, yang sekarang menjadi bagian dari kelompok ancaman yang dilacak sebagai UAC-0098, menargetkan organisasi Ukraina dan organisasi non-pemerintah (LSM) Eropa.

UAC-0098 adalah broker akses awal yang dikenal menggunakan trojan perbankan IcedID untuk memberikan akses kepada grup ransomware ke sistem yang disusupi dalam jaringan perusahaan.

“Kami mulai melacak grup ancaman ini pada bulan April setelah mendeteksi kampanye phishing yang mendorong pintu belakang AnchorMail yang terkait dengan Conti,” kata peneliti TAG Google.

Sejak itu, aktor tersebut secara konsisten menggunakan alat dan layanan yang secara tradisional digunakan oleh pelaku kejahatan dunia maya untuk tujuan memperoleh akses awal: trojan IcedID, pembuat dokumen jahat EtterSilent, dan layanan distribusi malware rekayasa sosial “Stolen Image Evidence”.

Serangan kelompok ini diamati antara pertengahan April hingga pertengahan Juni, dengan seringnya perubahan taktik, teknik, dan prosedur (TTP), perkakas, dan umpan, sementara menargetkan organisasi Ukraina (seperti jaringan hotel) dan menyamar sebagai Polisi Siber Nasional dari Ukraina atau perwakilan dari Elon Musk dan StarLink.

Dalam kampanye berikutnya, UAC-0098 terlihat mengirimkan muatan berbahaya IcedID dan Cobalt Strike dalam serangan phishing yang menargetkan organisasi Ukraina dan LSM Eropa. Google TAG mengatakan atribusinya didasarkan pada beberapa tumpang tindih antara UAC-0098, Trickbot, dan grup kejahatan dunia maya Conti.

"Berdasarkan beberapa indikator, TAG menilai beberapa anggota UAC-0098 adalah mantan anggota kelompok kejahatan dunia maya Conti yang menggunakan kembali teknik mereka untuk menargetkan Ukraina," tambah Google TAG.

TAG menilai UAC-0098 bertindak sebagai perantara akses awal untuk berbagai kelompok ransomware termasuk Quantum dan Conti, geng kejahatan dunia maya Rusia yang dikenal sebagai FIN12 / WIZARD SPIDER. Aktivitas UAC-0098 adalah contoh representatif dari garis kabur antara kelompok yang bermotivasi finansial dan yang didukung pemerintah di Eropa Timur, yang menggambarkan tren pelaku ancaman yang mengubah penargetan mereka agar selaras dengan kepentingan geopolitik regional.

Aktivitas kelompok ancaman yang terdeteksi dan diungkapkan hari ini oleh Google juga sejalan dengan laporan sebelumnya dari IBM Security X-Force dan CERT-UA, yang juga mengaitkan serangan terhadap organisasi Ukraina dan entitas pemerintah dengan geng kejahatan dunia maya TrickBot dan Conti.

Seperti diketahui, geng Conti yang berbasis di Rusia meluncurkan operasi ransomware pada tahun 2020, menggantikan kelompok ransomware Ryuk. Seiring waktu, geng tersebut tumbuh menjadi sindikat kejahatan dunia maya, mengambil alih pengembangan beberapa operasi malware, termasuk TrickBot dan BazarBackdoor.

Seorang peneliti keamanan Ukraina membocorkan lebih dari 170.000 percakapan obrolan internal milik geng, bersama dengan kode sumber untuk enkripsi ransomware Conti, setelah Conti memihak Rusia setelah invasinya ke Ukraina.

Sementara kelompok tersebut telah menutup merek 'Conti', sindikat kejahatan dunia maya terus beroperasi setelah terpecah menjadi sel-sel yang lebih kecil dan menyusup atau mengambil alih operasi ransomware atau kejahatan dunia maya lainnya.

Beberapa geng ransomware yang disusupi oleh anggota Conti termasuk BlackCat, Hive, AvosLocker, Hello Kitty, dan operasi Quantum yang baru-baru ini dihidupkan kembali. Anggota Conti lainnya sekarang menjalankan operasi pemerasan data mereka sendiri yang tidak mengenkripsi data, seperti BlackByte, Karakurt, dan kolektif Bazarcall.