Liputan6.com, Jakarta - Microsoft mengaitkan penyebaran ransomware Holy Ghost ke kelompok hacker Korea Utara (Korut). Mereka diketahui telah menjalankan operasi ransomware itu untuk menyerang usaha kecil di berbagai negara.
Kelompok ini telah aktif cukup lama, tetapi gagal mendapatkan ketenaran dan kesuksesan finansial. Para peneliti di Microsoft Threat Intelligence Center (MSTIC) melacak geng ransomware Holy Ghost sebagai DEV-0530.
Baca Juga
Dalam sebuah laporan sebelumnya, mereka mengatakan bahwa muatan pertama dari aktor ancaman ini terlihat tahun lalu pada Juni 2021. Demikian menurut laporan Bleeping Computer, dikutip Selasa (19/7/2022).
Advertisement
Diklasifikasikan sebagai SiennaPurple (BTLC_C.exe), varian ransomware Holy Ghost awal tidak memiliki banyak fitur dibandingkan dengan versi berbasis Go berikutnya yang muncul pada Oktober 2021.
Microsoft melacak varian yang lebih baru sebagai SiennaBlue (HolyRS.exe, HolyLocker.exe, dan BTLC.exe) dan mencatat bahwa fungsinya diperluas dari waktu ke waktu untuk menyertakan beberapa opsi enkripsi, string obfuscation, manajemen kunci publik, dan dukungan internet/intranet.
Para peneliti mengatakan DEV-0530 berhasil mengkompromikan beberapa target, terutama usaha kecil hingga menengah. Adapun korbannya adalah bank, sekolah, organisasi manufaktur, serta perusahaan perencanaan acara dan pertemuan.
Aktor Holy Ghost mengikuti pola serangan ransomware yang khas dan mencuri data sebelum menerapkan enkripsi pada sistem yang terinfeksi.
Penyerang meninggalkan catatan tebusan pada mesin yang disusupi dan mereka juga mengirim email kepada korban dengan tautan ke sampel data yang dicuri untuk mengumumkan bahwa mereka bersedia menegosiasikan uang tebusan dengan imbalan kunci dekripsi.
Biasanya, para pelaku menuntut pembayaran antara 1,2 hingga 5 bitcoin, atau hingga sekitar US$ 100.000 dengan nilai tukar saat ini.
"Bahkan jika permintaannya tidak besar, penyerang bersedia untuk bernegosiasi dan terkadang menurunkan harga hingga kurang dari sepertiga dari permintaan awal," kata Microsoft Threat Intelligence Center.
Â
* Fakta atau Hoaks? Untuk mengetahui kebenaran informasi yang beredar, silakan WhatsApp ke nomor Cek Fakta Liputan6.com 0811 9787 670 hanya dengan ketik kata kunci yang diinginkan.
Apakah Pemerintah Korut Terlibat?
Terkait tingkat serangan yang jarang dan pemilihan korban secara acak, menguatkan teori bahwa operasi ransomware Holy Ghost mungkin tidak dikendalikan oleh pemerintah Korea Utara.
Sebaliknya, peretas yang bekerja untuk rezim Pyongyang mungkin melakukan ini sendiri, untuk keuntungan finansial pribadi.
Koneksi dengan kelompok peretas yang didukung negara bisa saja terjadi, karena MSTIC menemukan komunikasi antara akun email milik Holy Ghost dengan Andariel, aktor ancaman bagian dari Grup Lazarus di bawah Biro Umum Pengintaian Korea Utara.
"Hubungan antara kedua kelompok menjadi lebih kuat dengan fakta bahwa keduanya beroperasi dari set infrastruktur yang sama, dan bahkan menggunakan pengontrol malware khusus dengan nama mirip," kata para peneliti.
Untuk diketahui, situs web Holy Ghost sedang down saat ini tetapi penyerang menggunakan visibilitas kecil untuk berpura-pura sebagai entitas resmi, yang mencoba membantu korban meningkatkan kekuatan keamanan mereka.
Selanjutnya, mereka memotivasi tindakan mereka sebagai upaya untuk 'menutup kesenjangan antara yang kaya dan yang miskin'. Juga untuk membantu yang miskin dan yang kelaparan.
Seperti aktor lain dalam bisnis ransomware, Holy Ghost meyakinkan para korban bahwa mereka tidak akan menjual atau membocorkan data yang dicuri jika mereka dibayar.
Laporan Microsoft mencakup serangkaian tindakan yang direkomendasikan untuk mencegah infeksi dengan muatan Holy Ghost serta beberapa indikator kompromi yang ditemukan saat menyelidiki malware.
Advertisement
Ransomware Maui
Holy Ghost adalah operasi ransomware kedua yang terhubung ke Korea Utara. Pekan lalu, penasihat bersama dari FBI, CISA, dan Departemen Keuangan AS memperingatkan tentang ransomware Maui yang menargetkan organisasi perawatan kesehatan dengan dukungan pemerintah Korea Utara.
Mengutip Engadget, Jumat (8/7/2022), mereka terdeteksi menggunakan ransomware bernama Maui untuk mengenkripsi komputer organisasi perawatan kesehatan dan kemudian meminta uang tebusan dari para korban agar jaringan mereka tidak terkunci.
Informasi berisi tentang Maui, termasuk indikator kompromi dan teknik yang digunakan hacker Korea Utara tersebut, diperoleh dari sampel yang diperoleh FBI.
Menurut penasihat CISA, malware dieksekusi secara manual oleh aktor jahat dari jarak jauh begitu berada di jaringan korban.
Dalam hal ini CISA "sangat tidak menyarankan" membayar uang tebusan, karena tidak menjamin bahwa pelaku kejahatan akan memberikan 'kunci' kepada korban untuk membuka file mereka.
Namun, CISA mengakui penyerang kemungkinan besar akan terus menargetkan organisasi di sektor perawatan kesehatan.
"Aktor dunia maya yang disponsoriKorea Utara kemungkinan besar menganggap organisasi perawatan kesehatan bersedia membayar uang tebusan karena organisasi ini menyediakan layanan yang sangat penting bagi kehidupan dan kesehatan manusia," kata CISA.
FBI, CISA, dan kementerian keuangan sekarang mendesak penyedia layanan kesehatan untuk menggunakan teknik mitigasi dan mempersiapkan kemungkinan serangan ransomware dengan menginstal pembaruan perangkat lunak, memelihara cadangan data offline, dan menyusun rencana respons insiden dunia maya.
Awal tahun ini, sebuah laporan PBB mengungkapkan bahwa negara tersebut telah menggunakan cryptocurrency yang dicuri oleh peretas--disponsori negara untuk mendanai program rudal nuklir dan balistiknya.
Hacker Korea Utara Gasak Kripto Rp 1,4 Triliun untuk Danai Program Nuklir
Hacker Korea Utara juga diduga kuat berada di balik serangan siber yang mencuri USD 100 juta (setara Rp 1,4 triliun) mata uang kripto dari perusahaan AS. Demikian menurut laporan investigasi dari tiga perusahan keamanan.
Mengutip Reuters, Kamis (30/9/2022), aset kripto tersebut dicuri dari Horizon Bridge, layanan yang dioperasikan oleh jaringan blockchain Harmony, pada 23 Juni lalu. Layanan ini memungkinkan aset kripto untuk ditransfer ke blockchain lainnya.
Setelah proses investigasi, aktivitas memperlihatkan aksi pencurian ini terkait dengan para hacker asal Korea Utara. Para ahli mendeskripsikannya sebagai peretas siber.
Pemantau sanksi PBB mengatakan, Korea Utara kemungkinan menggunakan dana curian itu untuk mendukung program nuklir dan misilnya.
Ada pun gaya serangan yang dilakukan oleh hacker diduga dari Korea Utara ini berkecepatan tinggi dengan pembayaran terstruktur ke berbagai pihak, guna mengaburkan asal dana.
Chainanalysis mengungkap, serangan ini mirip dengan yang dilakukan oleh aktor kejahatan siber Korea Utara lainnya.
Chainanalysis merupakan sebuah perusahaan blockchain yang bekerja dengan Harmony untuk menyelidiki serangan tersebut.
Uniknya, para peneliti keamanan siber lain mengamini kesimpulan dan hasil investigasi Chainanalysis, sehingga ada kemungkinan makin besar bahwa pelakunya benar-benar hacker Korea Utara.
"Berdasarkan perilaku transaksi, awalnya peretasan ini terlihat seperti dilakukan oleh hacker Korea Utara," kata Mantan Analis FBI Nick Carlsen yang kini menyelidiki pencurian mata uang kripto untuk TRM Labs.
Ada indikasi kuat bahwa hacker Korea Utara yang melakukan peretasan adalah Lazarus Group. Hal ini dilihat dari sifat peretasan pencucian dana curiannya.
"Pencuri berusaha untuk meenghilangkan jejak transaksi. Hal ini membuatnya lebih mudah untuk mencairkan dana di bursa," kata laporan investigasi.
Jika serangan itu terkonfirmasi, serangan tersebut akan menjadi peretasan ke-delapan tahun ini dengan total kerugian USD 1 miliar yang terkait dengan hacker Korea Utara.
Â
Advertisement