Bongkar Habis Struktur Pembayaran Ransomware Qilin
Berita Cybersecurity, Struktur Pembayaran Ransomware Qilin - Kelompok yang terhubung dengan skema ransomware-as-a-service (RaaS) Qilin dapat menerima sebanyak 80%-85% dari jumlah pembayaran tebusan, menurut temuan terbaru dari Group-IB.
Perusahaan keamanan siber tersebut mengungkapkan bahwa mereka berhasil menyusup ke dalam kelompok tersebut pada bulan Maret 2023 dan mengungkapkan rincian tentang struktur pembayaran yang diterima oleh afiliasi serta cara kerja program RaaS melalui percakapan pribadi dengan seorang perekrut Qilin yang menggunakan nama samaran online Haise.
"Dalam serangan ransomware Qilin, banyak aspek yang disesuaikan agar dapat memberikan dampak maksimal pada setiap korban," demikian diungkapkan dalam laporan yang mendalam oleh perusahaan yang berbasis di Singapura ini. "Untuk mencapai hal ini, para pelaku ancaman dapat menggunakan taktik seperti mengubah ekstensi nama file yang terenkripsi dan menghentikan proses dan layanan tertentu."
Qilin, juga dikenal sebagai Agenda, pertama kali didokumentasikan oleh Trend Micro pada bulan Agustus 2022. Awalnya, ransomware ini menggunakan bahasa pemrograman Go sebelum kemudian beralih ke Rust pada bulan Desember 2022.
Adopsi Rust menjadi penting bukan hanya karena kemampuannya untuk menghindari pendeteksian, tetapi juga karena memungkinkan para pelaku ancaman untuk menargetkan server Windows, Linux, dan VMware ESXi.
Serangan yang dilakukan oleh kelompok ini menggunakan email phishing yang mengandung tautan berbahaya sebagai cara untuk memperoleh akses awal dan mengenkripsi data sensitif, tetapi tidak sebelum mengirimkan data tersebut sebagai bagian dari model ekstorsi ganda.
Data dari hingga 12 perusahaan yang berbeda telah diposting di portal kebocoran data Qilin di dark web antara bulan Juli 2022 dan Mei 2023.
Para korban ini, yang sebagian besar berada di sektor infrastruktur kritis, pendidikan, dan kesehatan, tersebar di negara-negara seperti Australia, Brasil, Kanada, Kolombia, Prancis, Jepang, Belanda, Serbia, Inggris, dan Amerika Serikat.
Group-IB mengatakan bahwa para pelaku Qilin juga memberikan panel administratif kepada afiliasi - yang direkrut untuk mengidentifikasi target yang menarik dan melancarkan serangan - agar mereka dapat mengawasi berbagai aspek operasional mereka dengan efektif.
"Kelompok ransomware Qilin memiliki panel afiliasi yang terbagi menjadi beberapa bagian, antara lain Target, Blog, Stuffers, Berita, Pembayaran, dan FAQ, untuk mengelola dan mengoordinasikan jaringan afiliasi mereka," kata peneliti keamanan Nikolay Kichatov.
- Target - Bagian ini digunakan untuk mengkonfigurasi catatan tebusan, file, direktori, dan ekstensi yang akan dilewati, ekstensi yang akan dienkripsi, proses yang akan dihentikan, dan mode enkripsi, dan sebagainya.
- Blog - Bagian ini digunakan oleh afiliasi untuk membuat posting blog dengan informasi tentang perusahaan yang diserang dan belum membayar tebusan.
- Stuffers - Bagian ini digunakan oleh para pelaku ancaman untuk membuat akun bagi anggota tim lainnya dan mengatur hak akses mereka.
- Berita - Bagian ini digunakan untuk memposting pembaruan terkait kemitraan ransomware (saat ini kosong).
- Pembayaran - Bagian ini berisi detail transaksi, saldo dompet afiliasi, dan opsi penarikan dana hasil ilegal.
- FAQ - Bagian ini berisi dukungan dan dokumentasi yang menjelaskan langkah-langkah penggunaan ransomware.
"Walaupun ransomware Qilin terkenal karena menargetkan perusahaan-perusahaan di sektor kritis, mereka merupakan ancaman bagi organisasi di semua sektor," kata Kichatov.
"Lebih dari itu, program afiliasi operator ransomware ini tidak hanya menambah anggota baru ke jaringan mereka, tetapi juga memberdayakan mereka dengan alat, teknik, dan bahkan layanan pengiriman yang ditingkatkan."
Posting Komentar untuk "Bongkar Habis Struktur Pembayaran Ransomware Qilin"