Platform OneDrive Digunakan Untuk Operasi Ransomware



Dalam artikel yang ditulis oleh Cybereason, disebutkan bahwa telah ditemukan beberapa link OneDrive yang mengarahkan user untuk mendownload malicious file. Beberapa link tersebut mengarahkan user men-download malware yang jenisnya trojan loader atau dropper atau backdoor, yang kemudian menyebabkan mesin target terinfeksi oleh Ransomware Conti.


Link tersebut disebarkan atau dikirimkan ke target menggunakan spam email, yang isinya dapat memancing target untuk mengklik link dan mengarahkannya ke folder OneDrive. Dimana untuk sebagian user, OneDrive merupakan software berbagi file yang legitimate atau resmi dari Microsoft, sehingga membuat mereka tidak ragu untuk mengklik link atau mendownload file dari malicious link tersebut.

Disebutkan bahwa, loader/dropper/backdoor yang digunakan merupakan jenis BazarLoader. Ini merupakan jenis malware yang disebarluaskan melalui spam email, dan mencoba mengelabui target untuk membuka trojan yang ada pada link di email tersebut. Ketika link tersebut diklik oleh target, akan diarahkan ke sebuah ISO (file yang dengan mudah di-mounting sebagai drive pada mesin target) yang berisi file DLL berbahaya dengan nama Documents. File DLL tersebut merupakan pintu atau awal mesin target terinfeksi Ransomware Conti.

https://www.theregister.com/2021/10/18/microsoft_malware_brand/
Gambar Malware yang ada di OneDrive, dilaporkan ke URLhaus

Produk dari Microsoft merupakan salah satu produk yang banyak digunakan oleh pengguna di seluruh dunia. Hal ini menyebabkan produk-produknya menjadi sasaran atau target Threat Actor sebagai Primary Attack Vector. Contoh saja untuk versi terbaru produk Microsoft yaitu Windows 11 yang baru dirilis October 5, 2021 lalu. Sudah ditemukan 38 celah (vulnerabilities), dan 25 diantaranya tergolong high atau critical severity.


Dan untuk Ransomware Conti (merupakan salah satu RaaS yang masih aktif sampai saat ini, lihat artikel kami disini), berdasarkan monitoring tools yang kami gunakan (DarkTracer), saat ini sudah ada 548 organisasi diseluruh dunia yang sudah terinfeksi.

Gambar Ransomware Monitoring. Source: DarkTracer

Untuk dapat melindungi Endpoint dari serangan Ransomware seperti Conti, perlu solusi untuk keamanan Endpoint yang dapat mendeteksi serangan dari tahap awal Ransomware masuk. Solusi yang dapat memberikan visibility dari keseluruhan Malicious Operation, sehingga organisasi dapat melakukan early detection dan mengurangi dampak yang terjadi (seperti kebocoran data). Cybereason adalah solusi yang tepat digunakan sebagai partner Anda dalam melindungi organisasi. Ingin tahu detailnya bagaimana Cybereason dapat membantu Anda dalam mendeteksi Ransomware lebih dini? Join ke webinar kami dengan klik link berikut ini: https://www.primacs.co.id/event-details/the-future-of-endpoint-security-cybereason


Source:

https://www.cybereason.com/blog/microsoft-onedrive-used-for-ransom-operations

https://twitter.com/ffforward/status/1448232486325080064

https://www.theregister.com/2021/10/18/microsoft_malware_brand/

https://stack.watch/product/microsoft/windows-11/

14 views0 comments