Microsoft Bedah Hacker Korut Penyebar Ransomware Holy Ghost yang Serang Usaha Kecil

Terkait tingkat serangan yang jarang dan pemilihan korban secara acak, menguatkan teori bahwa operasi ransomware Holy Ghost mungkin tidak dikendalikan oleh pemerintah Korea Utara.

Sebaliknya, peretas yang bekerja untuk rezim Pyongyang mungkin melakukan ini sendiri, untuk keuntungan finansial pribadi.

Koneksi dengan kelompok peretas yang didukung negara bisa saja terjadi, karena MSTIC menemukan komunikasi antara akun email milik Holy Ghost dengan Andariel, aktor ancaman bagian dari Grup Lazarus di bawah Biro Umum Pengintaian Korea Utara.

"Hubungan antara kedua kelompok menjadi lebih kuat dengan fakta bahwa keduanya beroperasi dari set infrastruktur yang sama, dan bahkan menggunakan pengontrol malware khusus dengan nama mirip," kata para peneliti.

Untuk diketahui, situs web Holy Ghost sedang down saat ini tetapi penyerang menggunakan visibilitas kecil untuk berpura-pura sebagai entitas resmi, yang mencoba membantu korban meningkatkan kekuatan keamanan mereka.

Selanjutnya, mereka memotivasi tindakan mereka sebagai upaya untuk 'menutup kesenjangan antara yang kaya dan yang miskin'. Juga untuk membantu yang miskin dan yang kelaparan.

Seperti aktor lain dalam bisnis ransomware, Holy Ghost meyakinkan para korban bahwa mereka tidak akan menjual atau membocorkan data yang dicuri jika mereka dibayar.

Laporan Microsoft mencakup serangkaian tindakan yang direkomendasikan untuk mencegah infeksi dengan muatan Holy Ghost serta beberapa indikator kompromi yang ditemukan saat menyelidiki malware.

Holy Ghost adalah operasi ransomware kedua yang terhubung ke Korea Utara. Pekan lalu, penasihat bersama dari FBI, CISA, dan Departemen Keuangan AS memperingatkan tentang ransomware Maui yang menargetkan organisasi perawatan kesehatan dengan dukungan pemerintah Korea Utara.

Mengutip Engadget, Jumat (8/7/2022), mereka terdeteksi menggunakan ransomware bernama Maui untuk mengenkripsi komputer organisasi perawatan kesehatan dan kemudian meminta uang tebusan dari para korban agar jaringan mereka tidak terkunci.

Informasi berisi tentang Maui, termasuk indikator kompromi dan teknik yang digunakan hacker Korea Utara tersebut, diperoleh dari sampel yang diperoleh FBI.

Menurut penasihat CISA, malware dieksekusi secara manual oleh aktor jahat dari jarak jauh begitu berada di jaringan korban.

Dalam hal ini CISA "sangat tidak menyarankan" membayar uang tebusan, karena tidak menjamin bahwa pelaku kejahatan akan memberikan 'kunci' kepada korban untuk membuka file mereka.

Namun, CISA mengakui penyerang kemungkinan besar akan terus menargetkan organisasi di sektor perawatan kesehatan.

"Aktor dunia maya yang disponsoriKorea Utara kemungkinan besar menganggap organisasi perawatan kesehatan bersedia membayar uang tebusan karena organisasi ini menyediakan layanan yang sangat penting bagi kehidupan dan kesehatan manusia," kata CISA.

FBI, CISA, dan kementerian keuangan sekarang mendesak penyedia layanan kesehatan untuk menggunakan teknik mitigasi dan mempersiapkan kemungkinan serangan ransomware dengan menginstal pembaruan perangkat lunak, memelihara cadangan data offline, dan menyusun rencana respons insiden dunia maya.

Awal tahun ini, sebuah laporan PBB mengungkapkan bahwa negara tersebut telah menggunakan cryptocurrency yang dicuri oleh peretas--disponsori negara untuk mendanai program rudal nuklir dan balistiknya.

Hacker Korea Utara juga diduga kuat berada di balik serangan siber yang mencuri USD 100 juta (setara Rp 1,4 triliun) mata uang kripto dari perusahaan AS. Demikian menurut laporan investigasi dari tiga perusahan keamanan.

Mengutip Reuters, Kamis (30/9/2022), aset kripto tersebut dicuri dari Horizon Bridge, layanan yang dioperasikan oleh jaringan blockchain Harmony, pada 23 Juni lalu. Layanan ini memungkinkan aset kripto untuk ditransfer ke blockchain lainnya.

Setelah proses investigasi, aktivitas memperlihatkan aksi pencurian ini terkait dengan para hacker asal Korea Utara. Para ahli mendeskripsikannya sebagai peretas siber.

Pemantau sanksi PBB mengatakan, Korea Utara kemungkinan menggunakan dana curian itu untuk mendukung program nuklir dan misilnya.

Ada pun gaya serangan yang dilakukan oleh hacker diduga dari Korea Utara ini berkecepatan tinggi dengan pembayaran terstruktur ke berbagai pihak, guna mengaburkan asal dana.

Chainanalysis mengungkap, serangan ini mirip dengan yang dilakukan oleh aktor kejahatan siber Korea Utara lainnya.

Chainanalysis merupakan sebuah perusahaan blockchain yang bekerja dengan Harmony untuk menyelidiki serangan tersebut.

Uniknya, para peneliti keamanan siber lain mengamini kesimpulan dan hasil investigasi Chainanalysis, sehingga ada kemungkinan makin besar bahwa pelakunya benar-benar hacker Korea Utara.

"Berdasarkan perilaku transaksi, awalnya peretasan ini terlihat seperti dilakukan oleh hacker Korea Utara," kata Mantan Analis FBI Nick Carlsen yang kini menyelidiki pencurian mata uang kripto untuk TRM Labs.

Ada indikasi kuat bahwa hacker Korea Utara yang melakukan peretasan adalah Lazarus Group. Hal ini dilihat dari sifat peretasan pencucian dana curiannya.

"Pencuri berusaha untuk meenghilangkan jejak transaksi. Hal ini membuatnya lebih mudah untuk mencairkan dana di bursa," kata laporan investigasi.

Jika serangan itu terkonfirmasi, serangan tersebut akan menjadi peretasan ke-delapan tahun ini dengan total kerugian USD 1 miliar yang terkait dengan hacker Korea Utara.