Ancaman baru mengikuti jejak Storm-1811: melakukan rekayasa sosial melalui vishing dan email bombing untuk mengelabui karyawan, kali ini dengan meniru panggilan dari help desk perusahaan.
Ransomware biasanya merupakan kejahatan yang memanfaatkan peluang. Penyerang umumnya menyerang melalui kerentanan atau kelemahan keamanan yang mudah ditemukan—seperti perangkat lunak yang belum diperbarui, perangkat jaringan yang rentan, atau port VPN masuk yang tidak dilindungi autentikasi multifaktor. Namun, beberapa serangan tampak jauh lebih terarah dan melibatkan pengintaian mendalam serta identifikasi karyawan spesifik sebagai target.
Sophos telah melacak beberapa aktor ransomware yang menggunakan pola serangan yang pertama kali dilaporkan oleh Microsoft pada Mei 2024, terkait kelompok ancaman bernama Storm-1811. Dalam pola ini, pelaku menyerang dengan “email bombing” untuk membanjiri email karyawan target dengan pesan tak diinginkan, lalu melakukan panggilan suara atau video melalui Microsoft Teams dengan menyamar sebagai tim dukungan teknis untuk mendapatkan akses jarak jauh ke komputer korban. Antara November 2024 hingga pertengahan Januari 2025, Sophos mendokumentasikan dua klaster ancaman berbeda yang menggunakan teknik ini dalam lebih dari 15 insiden. Penelusuran lebih lanjut menemukan lebih dari 55 upaya serangan menggunakan metode serupa.
Pada kuartal pertama 2025, tim Tanggap Insiden Sophos membantu sebuah organisasi yang menjadi target aktor ransomware 3AM. Polanya mirip dengan serangan email bombing lainnya, namun terdapat sejumlah elemen unik yang membedakan serangan ini dari insiden vishing Microsoft Teams sebelumnya.
Dalam kasus ini, pelaku menggunakan panggilan telepon yang menyamar dengan nomor milik departemen TI internal organisasi. Serangan ini juga melibatkan pemasangan mesin virtual ke komputer yang telah dikompromikan, memberikan celah awal yang tersembunyi dari perangkat lunak perlindungan endpoint. Serangan ransomware berhasil digagalkan, namun pelaku dapat bertahan di jaringan selama sembilan hari sebelum mencoba meluncurkan serangan ransomware dan berhasil mencuri data dari jaringan organisasi.
Rantai Serangan Aktor 3AM Ransomware
Pra-serangan:
Aktor 3AM melakukan pengintaian terhadap organisasi, mengumpulkan alamat email dan nomor telepon departemen TI internal untuk menyusun serangan secara spesifik.
Tentang 3AM Ransomware:
Pertama kali dilaporkan oleh Symantec pada September 2023, 3AM diyakini sebagai rebranding dari ransomware BlackSuit/Royal, yang terhubung ke salah satu “tim inti” dari kelompok Conti yang telah dibubarkan. Teknik vishing yang digunakan oleh 3AM dan STAC5777 dibahas dalam bocoran percakapan internal BlackBasta, termasuk skrip lengkap vishing yang dipublikasikan pada Mei 2024. Sekitar waktu itu juga, mereka mulai membeli akun Microsoft Teams dan menguji alat open-source bernama “TeamsPhisher.”
Hari 1–2: Kompromi Awal dan Pemasangan Backdoor
- Email bombing digunakan dengan mendaftarkan email korban ke banyak milis.
- Dalam 3 menit, karyawan target menerima 24 email spam.
- Penyerang menelepon menggunakan VoIP dengan menyamar sebagai departemen TI.
- Korban diarahkan untuk memberikan akses jarak jauh melalui Microsoft Quick Assist.
- Situs palsu (msquick[.]link) digunakan untuk mengarahkan korban ke file arsip yang mengandung malware: UpdatePackage_excic.zip.
- Arsip berisi:
- Skrip VBS (Update.vbs)
- Emulator QEMU
- Disk virtual Windows 7
- Trojan QDoor yang sudah terpasang
- Komunikasi C2 dilakukan lewat alamat IP di Lithuania (88.118.167[.]239:443).
Penemuan, Gerakan Lateral, dan Persistensi
- Akun layanan domain dikompromikan.
- Menggunakan WMIC dan PowerShell, penyerang membuat akun admin lokal.
- Menggunakan akun baru untuk RDP dan memasang alat manajemen jarak jauh (XEOXRemote).
- Akun admin domain juga dikompromikan (tanpa bukti forensik cara komprominya).
- Perintah pengintaian dijalankan, hasilnya disimpan dalam file pc.txt, dir.txt, dan a1.txt.
- File d.bat digunakan untuk mengaktifkan RDP di banyak host.
Hari 3: Upaya Evasion Gagal
- Sophos XDR terpasang di semua perangkat, kecuali satu server.
- MFA aktif untuk semua sesi RDP.
- Penyerang gagal menonaktifkan MFA dengan berbagai cara:
- Menghapus aplikasi Duo dengan WMIC
- Menjadwalkan Tugas Sistem untuk menghapus MFA
- Menggunakan perintah MsiExec untuk menghapus berdasarkan Product ID
- Penyerang juga gagal mematikan Sophos dengan alat EDR killer (EDR Sandblaster).
Eksfiltrasi Data
- Menggunakan alat sinkronisasi cloud GoodSync, pelaku mencuri sekitar 868 GB data ke penyimpanan cloud Backblaze.
Hari 5: Upaya Pemasangan Backdoor Dihentikan
- Penyerang memasang Syncro Live Agent, tapi tidak digunakan.
- Dua salinan trojan QDoor disalin ke dua server: vol.exe dan svchost.exe
- Keduanya berhasil diblokir oleh Sophos sebagai malware.
Hari 9: Serangan Ransomware Diluncurkan
- Penyerang menyerang satu server tanpa perlindungan endpoint.
- Binary ransomware disimpan sebagai C:\L.exe dan 1.bat untuk menyerang 88 komputer di jaringan.
- bat mencoba memetakan drive C ke tiap host target:
batch
CopyEdit
start 1l L.exe -k [ransomware portal access key] -s 10 -m net -p \\[host IP address]\c$
- Fitur CryptoGuard Sophos menghentikan enkripsi ransomware di host yang terlindungi.
- Dampak terbatas pada perangkat tanpa perlindungan endpoint.
Catatan Ransom 3AM
Gambar 4: Isi catatan permintaan tebusan dari 3AM.
Kesimpulan
Langkah-langkah mitigasi yang direkomendasikan:
(Paragraf kesimpulan yang lengkap belum disediakan dalam teks asli. Jika Anda ingin, saya bisa bantu membuat ringkasan atau rekomendasi keamanan berdasarkan isi laporan di atas.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan qfirewall indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi qfirewall.id untuk informasi lebih lanjut!