REPUBLIKA.CO.ID, JAKARTA— Kelompok ransomware terkenal yang dikenal sebagai Cuba baru-baru ini menyebarkan malware yang dapat menghindari deteksi tingkat lanjut, dan menargetkan organisasi di seluruh dunia, sehingga meninggalkan jejak di sejumlah perusahaan yang telah disusupi di berbagai industri.
Pada Desember 2022, Kaspersky mendeteksi insiden mencurigakan pada sistem klien, mengungkapkan tiga file yang meragukan. File-file ini memicu serangkaian tindakan yang mengarah pada pemuatan komar65 library, juga dikenal sebagai BUGHATCH.
BUGHATCH adalah backdoor canggih yang diterapkan dalam memori proses. Ia mengeksekusi blok kode shell yang tertanam dalam ruang memori yang dialokasikan padanya menggunakan Windows API, yang mencakup berbagai fungsi. Selanjutnya, terhubung ke server Command and Control (C2), API, menunggu instruksi lebih lanjut.
Itu dapat menerima perintah untuk mengunduh perangkat lunak seperti Cobalt Strike Beacon dan Metasploit. Penggunaan Veeamp dalam serangan tersebut menunjukkan keterlibatan Cuba.
Khususnya, file PDB merujuk pada folder “komar”, adalah kata dalam bahasa Rusia untuk “nyamuk”, menunjukkan potensi kehadiran anggota berbahasa Rusia dalam grup tersebut. Analisis lebih lanjut oleh Kaspersky mengungkap modul tambahan yang didistribusikan oleh grup Cuba, sehingga meningkatkan fungsionalitas malware tersebut. Salah satu modul tersebut bertanggung jawab untuk mengumpulkan informasi sistem, yang kemudian dikirim ke server melalui permintaan HTTP POST.
Melanjutkan penyelidikannya, Kaspersky menemukan sampel malware baru yang dikaitkan dengan kelompok Cuba di VirusTotal. Beberapa dari sampel ini berhasil menghindari deteksi oleh vendor keamanan lainnya. Sampel ini mewakili versi baru dari malware BURNTCIGAR, yang menggunakan data terenkripsi untuk menghindari deteksi antivirus.
Pakar keamanan siber di Kaspersky, Gleb Ivanov, mengatakan temukan terbaru Kaspersky menekankan pentingnya akses terhadap laporan terbaru dan intelijen ancaman.
“Ketika geng ransomware seperti Cuba berevolusi dan menyempurnakan taktik mereka, tetap menjadi terdepan sangatlah penting untuk secara efektif memitigasi potensi serangan. Dengan lanskap ancaman siber yang terus berubah, wawasan dan pengetahuan adalah pertahanan utama melawan munculnya penjahat siber,” kata Gleb dalam siaran pers, Kamis (14/9/2023).
Cuba adalah jenis ransomware file tunggal, yang sulit dideteksi karena pengoperasiannya tanpa perpustakaan tambahan. Grup berbahasa Rusia ini dikenal karena jangkauannya yang luas dan menargetkan industri seperti ritel, keuangan, logistik, pemerintahan, dan manufaktur di Amerika Utara, Eropa, Oseania, dan Asia. Mereka menggunakan gabungan alat milik publik dan milik sendiri, memperbarui perangkat mereka secara teratur dan menggunakan taktik seperti BYOVD (Bring Your Own Vulnerable Driver).
Ciri khas dari operasi mereka adalah mengubah stempel waktu kompilasi untuk menyesarkan penyelidik. Misalnya, beberapa sampel yang ditemukan pada tahun 2020 memiliki tanggal kompilasi 4 Juni 2020, sedangkan stempel waktu pada versi yang lebih baru ditampilkan berasal dari 19 Juni 1992 .
Pendekatan unik mereka tidak hanya melibatkan enkripsi data tetapi juga menyesuaikan serangan untuk mengekstrak data informasi sensitif, seperti dokumen keuangan, catatan bank, rekening perusahaan, dan kode sumber. Perusahaan pengembangan perangkat lunak sangat berisiko. Meski sempat menjadi sorotan selama beberapa waktu, grup ini tetap dinamis dan terus menyempurnakan tekniknya.
Ikuti Whatsapp Channel Republika
