Conti Ransomware Gunakan Serangan Phishing 'BazarCall' Sebagai Vektor Akses Awal

Tiga cabang dari kelompok cybercrime Conti yang terkenal telah menggunakan call-back phishing sebagai vektor akses awal untuk memasuki jaringan yang ditargetkan.

Menurut AdvIntel, "tiga kelompok ancaman otonom sejak itu mengadopsi dan secara independen mengembangkan strategi phishing bertarget mereka sendiri yang berevolusi dari metodologi call back phishing."

Menurut perusahaan, taktik yang ditargetkan ini "secara signifikan meningkatkan" serangan terhadap entitas di sektor perbankan, teknologi, hukum, dan asuransi.

Silent Ransom, Quantum, dan Roy/Zeon termasuk di antara aktor yang dimaksud, yang semuanya berpisah dari Conti setelah kartel ransomware-as-a-service (RaaS) mengatur penutupannya pada Mei 2022 sebagai tanggapan atas dukungan publiknya untuk Rusia dalam kelanjutan Konflik Rusia-Ukraina.

Taktik social engineering tingkat lanjut, juga dikenal sebagai BazaCall (alias BazarCall), pertama kali mendapat perhatian pada tahun 2020/2021 ketika digunakan oleh operator Ryuk ransomware, yang kemudian diubah namanya menjadi Conti.

Diyakini telah mendapatkan peningkatan operasional yang signifikan pada bulan Mei, sekitar waktu yang sama kelompok Conti sibuk mengorganisir restrukturisasi seluruh kelompok sambil mereplikasi gerakan kelompok yang aktif.

Infografis yang merinci proses BazarCall. Source : advintel.io

Serangan phishing sangat berbeda karena tidak menggunakan tautan atau file berbahaya dalam pesan email, alih-alih memilih nomor telepon yang ditipu oleh penerima untuk menelepon dengan memberi tahu mereka tentang tagihan yang akan datang pada kartu kredit mereka untuk berlangganan premium.

Jika penerima target jatuh ke penipuan dan menghubungi nomor telepon yang diberikan dalam email, orang sungguhan dari pusat panggilan palsu yang didirikan oleh operator BazaCall mencoba membujuk korban untuk memberikan kontrol desktop jarak jauh kepada petugas layanan pelanggan untuk membatalkan langganan palsu.

Dengan akses ke desktop pengguna, pelaku ancaman menyusup ke jaringan pengguna dan membangun kegigihan untuk operasi lebih lanjut seperti eksfiltrasi data.

Baca Juga : 10 Vektor Serangan Paling Banyak Dieksploitasi oleh Cybercriminal

"Call back phishing adalah taktik yang memungkinkan transformasi menyeluruh dalam pendekatan penyebaran ransomware," menurut AdvIntel, yang menambahkan bahwa "vektor serangan secara intrinsik tertanam ke dalam tradisi kelompok Conti."

Silent Ransom, "nenek moyang BazarCall" dan grup turunan pertama yang berangkat dari Conti pada Maret 2022, sejak itu telah dikaitkan dengan serangkaian data extortion attack yang memerlukan akses awal melalui email kedaluwarsa langganan yang mengklaim untuk memberi tahu pengguna tentang pembayaran tertunda untuk layanan Zoho Masterclass dan Duolingo.

"Serangan ini dapat dikategorikan sebagai serangan tebusan pelanggaran data, di mana tujuan utama kelompok adalah untuk mendapatkan akses ke dokumen dan informasi penting, dan kemudian meminta pembayaran untuk mencegah publikasi data yang dicuri," kata Sygnia bulan lalu, menjelaskan prosedur infeksi.

Tindakan Silent Ransom dengan nama Luna Moth sedang dilacak oleh perusahaan cybersecurity Israel Luna Moth.

Keberhasilan operasi phishing Silent Ransom yang sangat bertarget telah mendorong dua spin-off Conti lainnya, Quantum dan Roy/Zeon, untuk menggunakan teknik yang sama mulai pertengahan Juni 2022, sambil menambahkan sentuhan mereka sendiri.

Sementara Quantum telah terlibat dengan serangan ransomware yang menghancurkan pada jaringan pemerintah Kosta Rika pada bulan Mei, Roy/Zeon - yang terdiri dari anggota "bertanggung jawab atas pembuatan Ryuk itu sendiri" - telah menunjukkan strategi penargetan yang sangat selektif, biasanya menguntungkan perusahaan dengan pendapatan rata-rata tinggi.

"Sebagai social engineer paling berbakat dari tiga kelompok, Roy/Zeon memiliki [Indicators of Compromise] dan skema peniruan yang paling dapat dipertukarkan dan disesuaikan yang dipilihnya tergantung pada targetnya," peneliti AdvIntel Yelisey Boguslavskiy dan Marley Smith menjelaskan.

Perlu dicatat bahwa Quantum, juga dikenal sebagai subdivisi utama Conti, mendapatkan namanya dari perusahaan RaaS lain dengan nama yang sama, yang pertama kali muncul sebagai operasi MountLocker yang berganti nama pada September 2021 sebelum dikonsumsi oleh Conti selama reorg pada April 2022.

Tidak seperti Silent Ransom, yang menggunakan email palsu yang memalsukan pemberitahuan berlangganan sebagai iming-iming, operasi spam Quantum yang "semakin canggih" diketahui menyebar melalui surat resmi yang meniru perusahaan seperti Oracle dan CrowdStrike, seperti yang diungkapkan oleh perusahaan cybersecurity bulan lalu.

"Karena pelaku ancaman telah menemukan potensi taktik social engineering yang dipersenjatai, kemungkinan upaya phishing ini hanya akan menjadi lebih rumit, komprehensif, dan sulit dibedakan dari komunikasi asli dari waktu ke waktu," kata para peneliti.

Hasilnya muncul ketika perusahaan cybersecurity Dragos mengatakan bahwa jumlah serangan ransomware pada infrastruktur industri turun dari 158 pada kuartal pertama 2022 menjadi 125 pada kuartal kedua, penurunan yang dikaitkan dengan skeptis pada penutupan Conti.

Itu bukan segalanya. Elliptic, sebuah perusahaan analitik blockchain, mengungkapkan minggu ini bahwa kelompok Ryuk dan Conti yang terkait dengan Rusia telah mencuci lebih dari $145 juta dalam aset kripto sejak 2020 melalui RenBridge, jembatan lintas rantai yang memungkinkan dana virtual ditransfer antar blockchain, menyoroti kelanjutan penyalahgunaan sifat cryptocurrency yang terdesentralisasi dan tidak diatur.