Kesamaan telah digali antara malware tujuan umum Dridex dan jenis ransomware yang kurang dikenal yang disebut Entropy, menunjukkan bahwa operator terus mengubah citra operasi pemerasan mereka dengan nama yang berbeda.
"Kesamaannya ada pada paket perangkat lunak yang digunakan untuk menyembunyikan kode ransomware, dalam subrutin malware yang dirancang untuk menemukan dan mengaburkan perintah (panggilan API), dan dalam subrutin yang digunakan untuk mendekripsi teks terenkripsi," kata perusahaan keamanan siber Sophos dalam sebuah laporan yang dibagikan dengan Berita Peretas.
Kesamaan itu terungkap menyusul dua insiden yang tidak terkait yang menargetkan sebuah perusahaan media yang tidak disebutkan namanya dan sebuah lembaga pemerintah daerah. Dalam kedua kasus, penyebaran Entropy didahului dengan menginfeksi jaringan target dengan Cobalt Strike Beacons dan Dridex, memberikan penyerang akses jarak jauh.
Meskipun konsistensi dalam beberapa aspek serangan kembar, mereka juga bervariasi secara signifikan berkaitan dengan vektor akses awal yang digunakan untuk masuk ke dalam jaringan, lamanya waktu yang dihabiskan di setiap lingkungan, dan malware yang digunakan untuk meluncurkan fase terakhir. dari invasi.
Serangan terhadap organisasi media menggunakan eksploitasi ProxyShell untuk menyerang Exchange Server yang rentan dengan tujuan memasang web shell yang, pada gilirannya, digunakan untuk menyebarkan Cobalt Strike Beacons di jaringan. Musuh dikatakan telah menghabiskan empat bulan untuk melakukan pengintaian dan pencurian data, yang pada akhirnya membuka jalan bagi serangan ransomware pada awal Desember 2021.
Serangan kedua terhadap organisasi pemerintah daerah, di sisi lain, difasilitasi melalui lampiran email berbahaya yang berisi malware Dridex, menggunakannya untuk menyebarkan muatan tambahan untuk pergerakan lateral.
Khususnya, eksfiltrasi data sensitif yang berlebihan ke lebih dari satu penyedia penyimpanan cloud – dalam bentuk arsip RAR terkompresi – terjadi dalam waktu 75 jam setelah deteksi awal upaya login yang mencurigakan pada satu mesin, sebelum mengenkripsi file di komputer yang disusupi.
Selain menggunakan alat yang sah seperti AdFind, PsExec, dan PsKill untuk melakukan serangan, korelasi antara sampel Dridex dan Entropy dengan infeksi ransomware DoppelPaymer sebelumnya telah meningkatkan kemungkinan "asal yang sama."
Penting untuk menunjukkan jaringan koneksi antara bagian-bagian yang berbeda dari malware. Trojan Dridex, botnet pencuri informasi, dikenal sebagai hasil karya kelompok kejahatan dunia maya yang berbasis di Rusia bernama Indrik Spider (alias Evil Corp)
Penting untuk menunjukkan jaringan koneksi antara bagian-bagian yang berbeda dari malware. Trojan Dridex, botnet pencuri informasi, dikenal sebagai hasil karya kelompok kejahatan dunia maya yang berbasis di Rusia bernama Indrik Spider (alias Evil Corp).
DoppelPaymer dikaitkan dengan grup sempalan yang dilacak di bawah moniker Doppel Spider, yang memanfaatkan kode malware bercabang yang dikembangkan oleh Indrik Spider, termasuk ransomware BitPaymer, sebagai dasar untuk operasi perburuan game besarnya.
Pada bulan Desember 2019, Departemen Keuangan AS memberikan sanksi kepada Evil Corp dan mengajukan tuntutan pidana terhadap dua anggota kunci Maksim Yakubets dan Igor Turashev, selain mengumumkan hadiah $5 juta untuk setiap informasi yang mengarah pada penangkapan mereka. Penyelidikan selanjutnya oleh BBC pada November 2021 melacak "peretas yang diduga menjalani gaya hidup jutawan, dengan sedikit kemungkinan untuk ditangkap."
Geng e-crime sejak itu telah bersepeda melalui berbagai perubahan branding pada infrastruktur ransomware mereka di tahun-tahun berikutnya untuk mengatasi sanksi, kepala di antaranya adalah WastedLocker, Hades, Phoenix, PayloadBIN, Duka, dan Macaw. Entropi kemungkinan merupakan tambahan terbaru untuk daftar ini.
Yang mengatakan, itu juga mungkin bahwa operator malware telah meminjam kode, baik untuk menyimpan upaya pengembangan atau sengaja menyesatkan atribusi dalam apa yang merupakan operasi bendera palsu.
"Dalam kedua kasus, penyerang mengandalkan kurangnya ketekunan - kedua target memiliki sistem Windows yang rentan yang tidak memiliki patch dan pembaruan saat ini," kata Andrew Brandt, peneliti utama di Sophos. "Mesin yang ditambal dengan benar, seperti Exchange Server, akan memaksa penyerang bekerja lebih keras untuk membuat akses awal mereka ke dalam organisasi yang mereka tembus."
"Persyaratan untuk menggunakan otentikasi multi-faktor, jika sudah ada, akan menciptakan tantangan lebih lanjut bagi pengguna yang tidak sah untuk masuk ke mesin itu atau mesin lain," tambah Brandt.
Jika ada, temuan menunjukkan bahwa klaster Evil Corp terus memajukan tradecraft mereka meskipun ada sanksi, terus-menerus memperbarui tanda tangan muatan mereka, alat eksploitasi, dan metode akses awal untuk membingungkan atribusi dan tetap berada di bawah radar. Memang, para peneliti dari SentinelOne, dalam analisis mandiri, menyebut tautan "evolusi", mengutip konfigurasi, implementasi, dan fungsionalitas yang hampir identik antara varian ransomware yang berurutan, dengan malware enkripsi file yang disembunyikan menggunakan pengepak yang disebut CryptOne.
"Meskipun ada beberapa kesamaan yang diamati, saat ini tidak ada cukup bukti yang menguatkan untuk secara langsung mengikat Entropy ke Evil Corp dan operasi yang lebih besar, historis,," Antonio Pirozzi, peneliti senior intelijen ancaman SentinelOne, mengatakan kepada The Hacker News. "Berdasarkan informasi yang tersedia saat ini, kami memperlakukan mereka sebagai entitas yang berbeda."