Setidaknya 34 kelompok kejahatan dunia maya berbahasa Rusia menggunakan malware pencuri info seperti Raccoon dan Redline telah secara kolektif mencuri 50.350.000 kata sandi akun dari lebih dari 896.000 infeksi individu dari Januari hingga Juli 2022.
Kredensial yang dicuri adalah untuk dompet cryptocurrency, akun Steam, Roblox, Amazon, dan PayPal, serta catatan kartu pembayaran.
Menurut laporan dari Group-IB, yang analisnya telah melacak operasi ini secara global, sebagian besar korban berada di Amerika Serikat, Jerman, India, Brasil, dan Indonesia, tetapi operasi jahat tersebut menargetkan 111 negara.
Bangkitnya pencuri info
Pada tahun 2022, distribusi malware pencuri informasi mencapai tingkat yang belum pernah terjadi sebelumnya, sekarang melibatkan peretas berketerampilan rendah yang bercita-cita untuk mendapat untung lebih besar dari aktivitas ilegal mereka.
Group-IB mengatakan penjahat dunia maya yang memicu pertumbuhan penyebaran pencuri info adalah penipu tingkat rendah yang sebelumnya bekerja sebagai “penelepon korban” dalam kampanye phishing yang dikenal sebagai “Kamera klasik.”
“Masuknya sejumlah besar pekerja ke dalam penipuan populer Classiscam, […] pada puncaknya, terdiri dari lebih dari seribu kelompok kriminal dan ratusan ribu situs web palsu telah membuat para penjahat bersaing untuk mendapatkan sumber daya dan mencari cara baru untuk menghasilkan keuntungan,” komentar Group-IB.
“Popularitas skema yang melibatkan pencuri dapat dijelaskan dengan penghalang masuk yang rendah. Pemula tidak perlu memiliki pengetahuan teknis lanjutan karena prosesnya sepenuhnya otomatis, dan satu-satunya tugas pekerja adalah membuat file dengan pencuri di bot Telegram dan mengarahkan lalu lintas ke sana.” – Grup-IB
Saat ini, ada 34 kelompok kejahatan dunia maya aktif di Telegram yang beroperasi sebagai geng pencuri informasi berskala besar, masing-masing beranggotakan sekitar 200 orang.
23 grup menggunakan pencuri Redline, delapan menggunakan Raccoon, dan tiga menggunakan malware khusus mereka sendiri.
SEKOIA juga mencatat awal pekan ini bahwa pencuri info lain bernama ‘Aurora’ mendapatkan daya tarik di forum bawah tanah dan telah diadopsi oleh tujuh kelompok ancaman terkemuka.
Peningkatan aktivitas pencuri info ditunjukkan dalam statistik yang disusun oleh laporan Group-IB, yang membandingkan periode 10 bulan di tahun 2021 dengan periode tujuh bulan di tahun 2022.
- Kata sandi dicuri: 50.352.518 (naik 80%)
- File cookie yang diekstraksi: 2.117.626.523 (naik 74%)
- Dompet Crypto dibobol: 113.204 (naik 216%)
- Kartu pembayaran disusupi: 103.150 (naik 81%)
.png)
Group-IB juga mencatat bahwa dalam tujuh bulan pertama tahun ini para aktor berfokus pada pencurian akun Steam, Epic Games, dan Roblox, mencatat peningkatan lima kali lipat dibandingkan tahun lalu.
Operasi berbasis telegram
Telegram memainkan peran penting dalam operasi cybergangs ini, baik dalam mengatur kampanye mereka maupun mempertahankan struktur fungsional yang mengakomodasi aktivitas pencurian data mereka.
Saluran Telegram pribadi ini menawarkan dukungan dan panduan teknis untuk operator, dapat berfungsi sebagai titik eksfiltrasi data, menjadi tuan rumah pengumuman penting, bertindak sebagai portal pelaporan bug, dan juga menampilkan bot yang dapat menghasilkan pembuatan malware khusus untuk klien 24/7.
Grup tersebut masih mematuhi aturan hierarkis, dengan “administrator” duduk di peringkat teratas, menjual akses ke malware pencuri info kepada “pekerja” dengan harga beberapa ratus USD per bulan.
Para pekerja bertanggung jawab untuk mengarahkan lalu lintas ke situs yang menjatuhkan malware, yang mereka lakukan dengan menggunakan video YouTube, BlackSEO, keracunan SEO, file torrent bertali, atau postingan media sosial yang berbahaya.
Pengguna dapat meminimalkan kemungkinan infeksi pencuri info dengan menghindari pengunduhan dari lokasi yang teduh, memeriksa semua file yang dapat dijalankan yang diunduh dengan solusi antivirus sebelum dibuka, dan memperbarui sistem mereka.
