Ancaman Ransomware Fog dan Toolset Tak Lazim
Dunia keamanan siber kembali dikejutkan dengan aktivitas ransomware Fog yang menunjukkan evolusi metode serangan. Berbeda dengan serangan ransomware konvensional yang sering mengandalkan toolset khusus, serangan Fog terbaru teridentifikasi menggunakan kombinasi perangkat lunak yang tidak biasa, bahkan beberapa di antaranya adalah alat yang sah. Penggunaan toolset tak lazim ini mempersulit deteksi dan pertahanan, menjadi tantangan baru bagi tim keamanan.
Toolset Unik di Balik Serangan Fog
Analisis mendalam terhadap serangan ransomware Fog mengungkapkan penggunaan campuran alat komersial dan skrip kustom. Salah satu komponen kunci yang diamati adalah penggunaan ScreenConnect, alat akses jarak jauh yang sah, untuk mendapatkan pijakan awal dan mengendalikan sistem target. Selain itu, para pelaku ancaman memanfaatkan skrip PowerShell yang dirancang khusus untuk eksekusi perintah, serta alat AdFind untuk melakukan reconnaissance di dalam jaringan, seperti mengumpulkan informasi tentang struktur direktori aktif dan daftar pengguna. Kombinasi alat sah dan skrip kustom ini memungkinkan pelaku serangan untuk bergerak di dalam jaringan tanpa menimbulkan banyak kecurigaan dibandingkan penggunaan malware yang sepenuhnya kustom.
Tahapan Eksploitasi dan Pergerakan
Serangan yang menggunakan toolset ransomware Fog ini umumnya mengikuti pola yang terstruktur. Setelah mendapatkan akses awal, seringkali melalui kerentanan atau metode social engineering, pelaku segera menyebarkan ScreenConnect. Alat ini digunakan sebagai pintu belakang untuk mempertahankan akses dan sebagai platform untuk meluncurkan tahap serangan selanjutnya. AdFind kemudian digunakan untuk memetakan jaringan, mengidentifikasi target bernilai tinggi, dan mencari informasi penting. Setelah informasi terkumpul, skrip PowerShell atau alat lainnya digunakan untuk lateral movement, menyebarkan diri ke sistem lain di dalam jaringan. Pada akhirnya, muatan ransomware Fog dikerahkan untuk mengenkripsi data pada sistem yang terinfeksi, diikuti dengan tuntutan tebusan.
Implikasi dan Pertahanan yang Disarankan
Penggunaan toolset tak lazim dalam serangan ransomware Fog, terutama alat sah seperti ScreenConnect dan AdFind, memiliki implikasi serius terhadap deteksi ancaman. Sistem keamanan tradisional yang berfokus pada deteksi malware berbasis signature mungkin kesulitan mengidentifikasi aktivitas berbahaya ini. Oleh karena itu, organisasi perlu memperkuat strategi pertahanan mereka dengan fokus pada pemantauan perilaku (behavioral monitoring), segmentasi jaringan yang ketat, manajemen hak akses yang cermat (Least Privilege), serta pelatihan kesadaran keamanan yang kuat untuk karyawan. Audit aktivitas penggunaan alat administrasi jarak jauh dan skrip dalam jaringan juga menjadi krusial.
Analisis Pakar Keamanan Terkemuka
Para peneliti keamanan siber telah menganalisis secara mendalam serangan ransomware Fog yang menggunakan toolset unik ini. Mereka menekankan pentingnya visibilitas yang mendalam ke dalam aktivitas jaringan dan endpoint untuk mendeteksi pola perilaku mencurigakan yang mungkin mengindikasikan serangan sedang berlangsung, meskipun alat yang digunakan terlihat sah. Temuan ini menggarisbawahi perlunya pendekatan berlapis dalam keamanan siber, menggabungkan berbagai teknologi dan strategi untuk melindungi aset digital dari ancaman yang terus berkembang seperti ransomware Fog.
Sumber: https://securityaffairs.com/178969/malware/unusual-toolset-used-in-recent-fog-ransomware-attack.html