Peretas China dan Korea Utara Targetkan Infrastruktur Global dengan Ransomware

Sumber: www.freepik.com

Serangan ransomware dan enkripsi data yang menargetkan infrastruktur vital dan sektor pemerintah di seluruh dunia antara tahun 2021 dan 2023 diduga terkait dengan peretas yang memiliki hubungan dengan China dan Korea Utara. Berikut adalah berita selengkapnya yang telah kami rangkum dari thehackernews.com.

Dalam laporan yang dibagikan kepada The Hacker News, perusahaan keamanan siber SentinelOne dan Recorded Future mengungkapkan adanya dua kelompok aktivitas yang saling terkait. Kelompok pertama dikenal sebagai ChamelGang (alias CamoFei), sedangkan kelompok kedua menunjukkan pola dan taktik yang mirip dengan kelompok-kelompok peretas yang didukung oleh pemerintah Tiongkok dan Korea Utara.

Hal ini diperkuat dengan serangan ransomware CatB yang dilancarkan ChamelGang pada tahun 2022 terhadap All India Institute of Medical Sciences (AIIMS) dan Kantor Kepresidenan Brasil. Selain itu, mereka juga diduga menyerang entitas pemerintah di Asia Timur  dan organisasi penerbangan di subkontinen India pada tahun 2023.

“Para pelaku kejahatan siber di ekosistem spionase siber semakin gencar menggunakan ransomware sebagai tahap akhir operasi mereka. Tujuannya bisa beragam, mulai dari keuntungan finansial, disrupsi, pengalihan perhatian, kesalahan atribusi, atau penghilangan barang bukti,” papar peneliti keamanan Aleksandar Milenkoski dan Julian-Ferdinand Vögele (Sumber: thehackernews.com)

Serangan ransomware dalam konteks ini tidak hanya berfungsi sebagai sarana sabotase. Serangan yang dijalankan juga memungkinkan pelaku untuk menutupi jejak mereka dengan menghancurkan artefak yang dapat memberi tahu tim keamanan tentang keberadaan mereka.

ChamelGang sendiri pertama kali didokumentasikan oleh perusahaan keamanan siber Positive Technologies pada tahun 2021. Kelompok ini dianggap memiliki hubungan dengan China dan beroperasi dengan berbagai tujuan seperti pengumpulan intelijen, pencurian data, mencari keuntungan finansial, melancarkan serangan DoS, dan melakukan kegiatan yang bertujuan untuk memengaruhi atau mengontrol informasi yang beredar.

Diketahui bahwa kelompok ini juga memiliki berbagai tools dan strategi untuk melancarkan serangan. Beberapa di antaranya seperti BeaconLoader, Cobalt Strike, backdoors, serta jenis ransomware yang dikenal sebagai CatB.

Serangan yang diamati pada tahun 2023 juga menggunakan versi terbaru dari BeaconLoader untuk mengirimkan Cobalt Strike. Cobalt Strike digunakan untuk pengintaian dan aktivitas pasca-eksploitasi seperti menyebarkan peralatan tambahan dan mencuri file database NTDS.dit.

Perlu diperhatikan, malware kustom yang digunakan ChamelGang seperti DoorMe dan MGDrive (varian macOS-nya disebut Gimmick) juga dikaitkan dengan kelompok ancaman China lainnya seperti REF2924 dan Storm Cloud. Hal ini mengindikasikan kemungkinan adanya “pemasok digital” yang menyediakan malware untuk berbagai kelompok operasi.

Selain ChamelGang, peneliti keamanan siber juga mengamati kelompok lain yang melancarkan serangan menggunakan perangkat lunak enkripsi Jetico BestCrypt dan Microsoft BitLocker. Serangan ini menargetkan berbagai sektor industri di Amerika Utara, Selatan, dan Eropa. Diperkirakan 37 organisasi, terutama di sektor manufaktur Amerika Serikat, telah menjadi korban.

Baca Juga: Kesalahan Konfigurasi Firewall Paling Umum Menurut Pakar Keamanan Siber LOGIQUE

Menurut SentinelOne dan Recorded Future, taktik yang digunakan kelompok ini mirip dengan taktik yang sebelumnya dikaitkan dengan tim peretasan China yang dijuluki APT41 dan aktor Korea Utara yang dikenal sebagai Andariel. Hal ini terlihat dari penggunaan peralatan seperti web shell China Chopper dan backdoor bernama DTrack.

Meskipun para peneliti mengamati taktik yang mirip dengan kelompok APT China dan Korea Utara, SentinelOne tidak bisa sepenuhnya menyingkirkan kemungkinan bahwa aktivitas ini merupakan bagian dari skema kejahatan siber yang lebih luas. Hal ini mengingat nation-state actors terkadang juga ikut serta dalam serangan yang bermotif keuntungan finansial.

“Operasi spionase siber yang disamarkan sebagai serangan ransomware memberi kesempatan bagi negara-negara musuh untuk mengelak dari tuduhan dengan menyalahkan aksi tersebut kepada pelaku kejahatan siber independen, bukan entitas yang didukung negara,” kata para peneliti.

Dari informasi ini, bisa kita lihat bahwa serangan siber yang menargetkan infrastruktur kritis dan sektor pemerintah di seluruh dunia menunjukkan semakin canggihnya metode para peretas. Penting bagi organisasi-organisasi di berbagai sektor untuk meningkatkan kewaspadaan dan memperkuat sistem keamanan mereka untuk melawan ancaman ini. Masyarakat umum pun perlu diedukasi tentang potensi bahaya serangan siber dan cara-cara untuk melindungi diri mereka. Dengan meningkatkan kesadaran dan memperkuat pertahanan, kita dapat bersama-sama memerangi ancaman siber dan menjaga keamanan data dan infrastruktur digital.

Baca Juga: Penetration Testing LOGIQUE, Lindungi Bisnis dari Serangan Siber

Solusi Keamanan Siber di Indonesia

LOGIQUE memiliki tim ahli keamanan siber profesional yang dapat membantu organisasi atau bisnis di Indonesia agar bisa terhindar dari serangan siber yang semakin canggih. Hubungi kami segera untuk konsultasi lebih lanjut. Kami siap membantu melindungi keamanan sistem dan data sensitif Anda.

Related Posts