Malware DroxiDat Serang Pembangkit Listrik Afrika Selatan
 |
| Malware DroxiDat Serang Afrika Selatan |
Berita Cybersecurity, Malware DroxiDat Serang Afrika Selatan - Sebuah serangan cyber yang belum diketahui pelakunya telah dikaitkan dengan serangan cyber pada perusahaan pembangkit listrik di Afrika selatan menggunakan varian malware SystemBC yang baru disebut DroxiDat sebagai langkah awal dari serangan ransomware yang diduga akan terjadi.
"Backdoor yang dapat berfungsi sebagai proxy ini dikerahkan bersama dengan Beacon Cobalt Strike di infrastruktur kritis Afrika Selatan," ujar Kurt Baumgartner, peneliti keamanan utama dari Global Research and Analysis Team (GReAT) di Kaspersky.
Perusahaan cybersecurity asal Rusia tersebut menyatakan bahwa serangan ini, yang terjadi pada akhir Maret 2023, masih dalam tahap awal dan melibatkan penggunaan DroxiDat untuk membuat sistem dan lalu lintas jaringan proxy menggunakan protokol SOCKS5 menuju dan dari infrastruktur command-and-control (C2).
SystemBC adalah malware komoditas dan tools administrasi jarak jauh berbasis C/C++ yang pertama kali terdeteksi pada tahun 2019. Fitur utamanya adalah untuk mengatur proxy SOCKS5 pada komputer korban yang nantinya dapat digunakan oleh hacker untuk mengalihkan lalu lintas jahat yang terkait dengan malware lain. Varian malware yang lebih baru juga dapat mengunduh dan menjalankan payload tambahan.
Penggunaan SystemBC sebagai saluran untuk serangan ransomware telah didokumentasikan sebelumnya. Pada Desember 2020, Sophos mengungkapkan ketergantungan para operator ransomware pada SystemBC RAT sebagai Tor backdoor yang siap pakai untuk infeksi Ryuk dan Egregor.
"SystemBC merupakan tools yang menarik dalam operasi-operasi jenis ini karena memungkinkan untuk mengincar beberapa target sekaligus dengan tugas-tugas otomatis, memungkinkan penyebaran ransomware tanpa perlu campur tangan langsung melalui tools bawaan Windows jika para hacker mendapatkan kredensial yang tepat," ujar perusahaan tersebut pada saat itu.
Keterkaitan DroxiDat dengan penyebaran ransomware berasal dari insiden terkait perawatan kesehatan yang melibatkan DroxiDat sekitar waktu yang sama dengan penyebaran ransomware Nokoyawa yang dikatakan terjadi bersamaan dengan Cobalt Strike.
Malware yang digunakan dalam serangan ini lebih ringkas dan sederhana jika dibandingkan dengan SystemBC, yang telah dihilangkan sebagian besar fungsionalitas yang terkait dengan yang terakhir untuk bertindak sebagai profil sistem sederhana dan mengirimkan informasi ke server jarak jauh.
"Malware ini tidak memiliki kemampuan untuk mengunduh dan menjalankan payload tambahan, tetapi dapat terhubung dengan pendengar jarak jauh dan mengirimkan data bolak-balik, serta memodifikasi registri sistem," ungkap Baumgartner.
Identitas pelaku ancaman di balik gelombang serangan ini saat ini masih belum diketahui, meskipun bukti yang ada menunjukkan kemungkinan keterlibatan kelompok ransomware Rusia, khususnya FIN12 (juga dikenal sebagai Pistachio Tempest), yang dikenal menggunakan SystemBC bersamaan dengan Beacon Cobalt Strike untuk menyebar ransomware.
Peningkatan ini terjadi saat jumlah serangan ransomware yang menargetkan organisasi industri dan infrastruktur telah melonjak dua kali lipat sejak kuartal kedua tahun 2022, meningkat dari 125 pada Q2 2022 menjadi 253 pada Q2 2023, menurut Dragos. Angka ini juga merupakan peningkatan sebesar 18% dari kuartal sebelumnya, di mana teridentifikasi 214 insiden.
"Serangan ransomware akan terus mengganggu operasi industri, baik melalui integrasi proses penghancuran operational technology (OT) ke dalam varian ransomware, penyebaran ransomware ke lingkungan OT melalui jaringan yang lebih sederhana, atau penghentian produksi secara pencegahan oleh operator untuk mencegah penyebaran ransomware ke sistem kendali industri," demikian penilaian perusahaan tersebut dengan keyakinan tinggi.
Posting Komentar untuk "Malware DroxiDat Serang Pembangkit Listrik Afrika Selatan"