Tersangka aktor ancaman yang didukung negara Iran yang dikenal sebagai ‘Agrius’ sekarang menyebarkan jenis ransomware baru bernama ‘Moneybird’ terhadap organisasi Israel.
Agrius telah secara aktif menargetkan entitas di Israel dan kawasan Timur Tengah setidaknya sejak tahun 2021 dengan berbagai nama samaran. menyebarkan wiper data dalam serangan destruktif.
Peneliti Check Point yang menemukan jenis ransomware baru percaya bahwa Agrius mengembangkannya untuk membantu memperluas operasi mereka, sementara penggunaan ‘Moneybird’ adalah salah satu upaya kelompok ancaman untuk menutupi jejak mereka.
Serangan burung uang
Peneliti Check Point mengatakan pelaku ancaman awalnya mendapatkan akses ke jaringan perusahaan dengan mengeksploitasi kerentanan di server publik, memberikan Agrius pijakan awal dalam jaringan organisasi.
Selanjutnya, para peretas bersembunyi di balik node ProtonVPN yang berbasis di Israel untuk menyebarkan varian webshell ASPXSpy yang tersembunyi di dalam file teks “Sertifikat”, sebuah taktik yang telah digunakan Agrius dalam kampanye sebelumnya.
Setelah menyebarkan webshell, penyerang melanjutkan untuk menggunakan alat sumber terbuka yang membantu pengintaian jaringan menggunakan SoftPerfect Network Scanner, gerakan lateral, komunikasi aman menggunakan Plink/PuTTY, pencurian kredensial dengan ProcDump, dan eksfiltrasi data menggunakan FileZilla.
Pada fase serangan berikutnya, Agrius mengambil ransomware Moneybird yang dapat dieksekusi dari platform hosting file yang sah seperti ‘ufile.io’ dan ‘easyupload.io.’
Saat diluncurkan, jenis ransomware C++ akan mengenkripsi file target menggunakan AES-256 dengan GCM (Mode Galois/Counter), menghasilkan kunci enkripsi unik untuk setiap file dan menambahkan metadata terenkripsi pada akhirnya.
Dalam kasus yang dilihat oleh Check Point, ransomware hanya menargetkan “F:\User Shares”, folder bersama yang umum di jaringan perusahaan yang digunakan untuk menyimpan dokumen perusahaan, database, dan file terkait kolaborasi lainnya.
Penargetan yang sempit ini menunjukkan bahwa Moneybird lebih bertujuan menyebabkan gangguan bisnis daripada mengunci komputer yang terkena dampak.
Check Point menjelaskan bahwa pemulihan data dan dekripsi file akan sangat menantang karena kunci pribadi yang digunakan untuk mengenkripsi setiap file dihasilkan menggunakan data dari GUID sistem, konten file, jalur file, dan nomor acak.
Setelah enkripsi, catatan tebusan dijatuhkan pada sistem yang terkena dampak mendesak korban untuk mengikuti tautan yang disediakan dalam waktu 24 jam untuk petunjuk tentang memulihkan data mereka.
“Halo, KAMI ADALAH MONEYBIRD! Semua data Anda dienkripsi! Jika Anda ingin memulihkannya, ikuti tautan ini dalam 24 jam,” bunyi catatan tebusan Moneybird.
Tidak seperti serangan sebelumnya yang terkait dengan Agrius, Moneybird diyakini sebagai ransomware, bukan penghapus, yang dimaksudkan untuk menghasilkan pendapatan guna mendanai operasi jahat pelaku ancaman.
Namun, dalam kasus yang dilihat oleh Check Point Research, permintaan uang tebusan sangat tinggi sehingga sejak awal diketahui bahwa pembayaran tidak mungkin dilakukan, membuat serangan tersebut pada dasarnya merusak.
“Ya negosiasi bisa saja dilakukan tetapi permintaan sangat tinggi, yang membuat kami percaya bahwa itu bagian dari trik. Mereka tahu tidak ada yang mau membayar sehingga kerusakan dan data yang bocor sudah diperkirakan. Itu bukan wiper,” Eli Smadga, Research Group Manager di Check Point Research, kepada BleepingComputer.
Ransomware yang sederhana namun efektif
Check Point menjelaskan bahwa Moneybird tidak memiliki kemampuan parsing baris perintah yang memungkinkan konfigurasi khusus korban dan lebih banyak keserbagunaan penerapan dan sebagai gantinya bergantung pada blob konfigurasi yang disematkan.
Ini berarti parameter perilaku ransomware sudah ditentukan sebelumnya dan tidak dapat dengan mudah disesuaikan untuk setiap target atau keadaan, membuat ketegangan tidak cocok untuk kampanye massal.
Namun, bagi Agrius, Moneybird masih merupakan alat pengganggu bisnis yang efektif, dan pengembangan lebih lanjut yang mengarah pada peluncuran versi yang lebih baru dan lebih mumpuni mungkin menjadikannya ancaman yang tangguh bagi organisasi Israel yang lebih luas.
