Sebuah perusahaan Fortune 50 membayar tebusan yang memecahkan rekor sebesar $75 juta kepada kelompok ransomware Dark Angels, menurut laporan oleh Zscaler ThreatLabz.
“Pada awal tahun 2024, ThreatLabz menemukan korban yang membayar Dark Angels sebesar $75 juta, lebih tinggi dari jumlah yang diketahui publik—sebuah pencapaian yang pasti akan menarik minat penyerang lain yang ingin meniru kesuksesan tersebut dengan mengadopsi taktik utama mereka (yang kami jelaskan di bawah),” tulis ThreatLabz. Laporan Ransomware Zscaler 2024.
Pembayaran yang memecahkan rekor ini dikonfirmasi lebih lanjut oleh perusahaan intelijen kripto Chainalysis, yang mencuit tentangnya di X.
Pembayaran tebusan terbesar yang diketahui sebelumnya adalah sebesar $40 juta, yang Raksasa asuransi CNA dibayar setelah menderita Serangan ransomware Evil Corp.
Meskipun Zscaler tidak menyebutkan perusahaan mana yang membayar uang tebusan sebesar $75 juta, mereka menyebutkan bahwa perusahaan tersebut terlibat dalam Keberuntungan 50 dan serangan itu terjadi pada awal tahun 2024
Salah satu perusahaan Fortune 50 yang mengalami serangan siber Pada bulan Februari 2024, ada raksasa farmasi Cencora, yang menduduki peringkat #10 dalam daftar tersebut. Tidak ada satu pun geng ransomware yang mengaku bertanggung jawab atas serangan tersebut, yang mungkin mengindikasikan bahwa tebusan telah dibayarkan.
BleepingComputer menghubungi Cencora untuk menanyakan apakah mereka membayar uang tebusan kepada Dark Angels tetapi belum mendapat tanggapan.
Siapa Dark Angels
Dark Angels adalah operasi ransomware yang diluncurkan pada bulan Mei 2022 ketika mulai menargetkan perusahaan di seluruh dunia.
Seperti kebanyakan geng ransomware yang dioperasikan manusia, operator Dark Angels membobol jaringan perusahaan dan bergerak secara lateral hingga akhirnya memperoleh akses administratif. Selama waktu ini, mereka juga mencuri data dari server yang disusupi, yang kemudian digunakan sebagai daya ungkit tambahan saat mengajukan tuntutan tebusan.
Saat mereka memperoleh akses ke pengontrol domain Windows, pelaku ancaman menyebarkan ransomware untuk mengenkripsi semua perangkat di jaringan.
Ketika pelaku ancaman meluncurkan operasinya, mereka menggunakan enkripsi Windows dan VMware ESXi berdasarkan kode sumber yang bocor untuk ransomware Babuk.
Namun seiring berjalannya waktu, mereka beralih ke enkripsi Linux yang sama dengan yang digunakan oleh Ragnar Locker sejak tahun 2021. Ragnar Locker adalah terganggu oleh penegakan hukum pada tahun 2023.
Enkripsi Linux ini digunakan dalam Serangan Dark Angels terhadap Johnson Controls untuk mengenkripsi server VMware ESXi milik perusahaan.
Dalam serangan ini, Dark Angels mengklaim telah mencuri 27 TB data perusahaan dan meminta pembayaran tebusan sebesar $51 juta.
Sumber: BleepingComputer
Pelaku ancaman juga mengoperasikan situs kebocoran data bernama ‘Dunghill Leaks’ yang digunakan untuk memeras korbannya, mengancam akan membocorkan data jika uang tebusan tidak dibayarkan.
Sumber: BleepingComputer
Zscaler ThreatLabz mengatakan bahwa Dark Angels menggunakan strategi “Big Game Hunting”, yaitu menargetkan hanya beberapa perusahaan bernilai tinggi dengan harapan memperoleh pembayaran besar, alih-alih banyak perusahaan sekaligus untuk pembayaran tebusan yang banyak tetapi lebih kecil.
“Kelompok Dark Angels menggunakan pendekatan yang sangat tertarget, biasanya menyerang satu perusahaan besar dalam satu waktu,” jelas peneliti Zscaler ThreatLabz.
“Hal ini sangat kontras dengan sebagian besar kelompok ransomware, yang menyasar korban tanpa pandang bulu dan mengalihdayakan sebagian besar serangan ke jaringan afiliasi broker akses awal dan tim pengujian penetrasi.”
Berdasarkan Analisis rantaitaktik Perburuan Hewan Besar telah menjadi tren dominan yang digunakan oleh banyak geng ransomware selama beberapa tahun terakhir.
