Peretas Witcher Spider menyewa penelepon dingin untuk menakut-nakuti korban ransomware agar membayar

Para peneliti telah mengungkap cara kerja Wizard Spider, sebuah kelompok peretasan yang mengembalikan hasil gelapnya ke perusahaan kriminal.

Pada hari Rabu, PRODAFT mengumumkan hasilnya penyelidikan Masuk ke Wizard Spider, yang diyakini terkait dengan kelompok peretasan Grim Spider dan Lunar Spider.

Menurut perusahaan keamanan siber, laba-laba penyihirkemungkinan berasal dari Rusia, menjalankan infrastruktur “satu set sub-tim dan kelompok yang kompleks, [..] Ini menampung sejumlah besar perangkat yang terinfeksi dan menggunakan alur kerja profesional yang sangat terdistribusi untuk menjaga keamanan dan irama operasional yang tinggi. ”

Operasi kejahatan dunia maya yang lebih canggih saat ini, apakah bekerja semata-mata untuk keuntungan atau untuk kepentingan nasional – seperti banyak kelompok ancaman persisten tingkat lanjut (APT) – sering menggunakan model bisnis. Ini termasuk mempekerjakan talenta terbaik dan menciptakan kerangka keuangan untuk menyimpan, mentransfer, dan mencuci pendapatan.

Dalam kasus Wizard Spider, itu juga berarti menginvestasikan kembali sebagian keuntungannya untuk diinvestasikan dalam alat pengembangan dan perangkat lunak, dan membayar karyawan baru. Laporan itu mengatakan kelompok itu memiliki “ratusan juta dolar aset.”

“Keuntungan grup yang luar biasa memungkinkan para pemimpinnya untuk berinvestasi dalam inisiatif R&D terlarang. Wizard Spider berada di posisi yang tepat untuk merekrut talenta profesional, membangun infrastruktur digital baru, dan membeli akses ke eksploitasi lanjutan.”

PRODAFT mengatakan Wizard Spider berfokus pada mengganggu jaringan perusahaan dan memiliki “kehadiran yang signifikan di hampir setiap negara maju di dunia, serta banyak negara berkembang”.

Korban termasuk kontraktor pertahanan, perusahaan perusahaan, pemasok rantai pasokan, rumah sakit dan penyedia utilitas penting.

Serangan Wizard Spider sering dimulai dengan spam dan phishing menggunakan proxy QBot dan SystemBC. Organisasi juga dapat menyusup ke perusahaan melalui utas email yang terinfeksi antara karyawan dalam program kompromi email bisnis (BEC).

Setelah pintunya retak, grup tersebut akan menyebarkan Cobalt Strike dan berusaha untuk mendapatkan hak administrator domain. Conti ransomware dikerahkan, mesin dan server hypervisor dienkripsi, dan permintaan ransomware dinaikkan.

Korban dikelola melalui panel kontrol loker.

tangkapan layar-2022-05-16-at-16-11-31.png

prodav

Wizard Spider juga menggunakan jaringan pribadi virtual (VPN) dan proxy untuk menyembunyikan jejaknya. Namun, grup tersebut juga telah berinvestasi dalam beberapa alat yang tidak biasa, termasuk sistem VoIP dan karyawan yang menelepon individu dan menakut-nakuti mereka agar membayar setelah insiden keamanan.

Ini adalah taktik yang digunakan oleh beberapa kelompok ransomware lain di masa lalu, termasuk Sekhmet, Maze, dan Ryuk. Coveware menduga bahwa pekerjaan “pusat panggilan” semacam itu mungkin dialihdayakan oleh penjahat dunia maya, karena templat dan skrip yang digunakan seringkali “pada dasarnya sama”.

Alat penting lainnya adalah stasiun crack Wizard Spider. Toolkit kustom ini menyimpan hash yang retak dan menjalankan cracker untuk mencoba mengamankan kredensial domain dan bentuk lain dari hash umum. Stasiun juga memperbarui tim tentang status cracking. Hingga saat ini, ada 32 pengguna aktif.

Beberapa server yang disusupi juga ditemukan berisi taktik, teknik, eksploitasi, informasi dompet cryptocurrency, dan cache file .ZIP terenkripsi yang berisi catatan yang dibuat dan dibagikan oleh tim penyerang.

“Tim Wizard Spider telah membuktikan dirinya mampu memonetisasi berbagai aspek operasinya,” kata PRODAFT. “Itu menyebabkan spam dalam jumlah besar di ratusan juta perangkat, serta pelanggaran data terkonsentrasi dan serangan ransomware terhadap target bernilai tinggi.”

Laporan sebelumnya dan terkait


Apakah ada tip? Hubungi dengan aman melalui WhatsApp | +447713 025 499 atau Sinyal di Keybase: charlie0


Bandwidth vs Kecepatan Data Dijelaskan 2023 [Guide to VPN…

Jika Anda pernah mencoba membeli paket data atau VPN, Anda mungkin pernah melihat istilah “bandwidth” dan “laju data” sebelumnya, dan Anda bahkan mungkin melihatnya...
Ngademin
4 min read