Tim Kroll mengatakan kelompok cybercrime transnasional meluncurkan skema penipuan pengangguran di AS.
Sebuah studi oleh penyedia solusi risiko, Kroll, menunjukkan bahwa sekelompok peretas dari Rusia berhasil mengajukan klaim pengangguran yang curang dengan Departemen Keamanan Ketenagakerjaan Negara Bagian Washington, atau ESD, melalui serangan ransomware terhadap penyedia layanan kesehatan di AS.
Menurut penelitian yang dipublikasikan pada 17 Juni, perusahaan itu menyelidiki catatan riwayat peramban yang dilaporkan oleh penjahat dunia maya ke berbagai akun Gmail. Mereka kemudian mengaktifkan dua profil di situs ESD menggunakan alamat email ini.
Kelompok kejahatan cyber terorganisir internasional muncul di tempat kejadian
Serangan ransomware, diluncurkan pada 12 Mei, adalah eksploitasi kategori Mamba yang menggunakan enkripsi disk penuh untuk menyerang korbannya. Kroll menemukan bahwa data dikaitkan dengan warga negara bagian Washington.
Laporan itu mengatakan bahwa informasi yang dikumpulkan menunjukkan bahwa ada kelompok kejahatan terorganisir transnasional, atau TOC, meluncurkan penipuan asuransi pengangguran yang meluas terhadap penduduk berbagai negara bagian AS – khususnya Washington dan Massachusetts.
Hipotesis yang muncul adalah bahwa penjahat dunia maya cenderung memanfaatkan kumpulan informasi yang dapat diidentifikasi secara pribadi yang dicuri dari berbagai pasar gelap web.
Kroll mengklarifikasi bahwa peretas mulai mengakses jaringan penyedia layanan kesehatan yang tidak dikenal pada akhir April. Mereka mengatakan para penyerang pada awalnya meluncurkan serangan ransomware GoGoogle yang gagal dan dengan cepat dinetralkan oleh staf TI.
Penipuan pengangguran terus meningkat di A.S.
Berbicara dengan Cointelegraph, Nicole Sette, wakil presiden senior dalam praktik Risiko Cyber Kroll dan mantan analis intelijen cyber FBI, mengatakan bahwa Ransomware dan kecurangan pengangguran terkait COVID terus mengganggu organisasi di seluruh Amerika Serikat:
“Dalam kasus ini, Kroll menyelidiki penipuan ransomware ganda / penipuan pengangguran yang mengungkapkan berbagai taktik, teknik, dan prosedur yang digunakan aktor untuk memonetisasi jaringan korban. Kami terus melihat penjahat cyber melakukan intrusi beraneka ragam, memanfaatkan berbagai skema untuk menyedot PII, dana dan data hak milik dari jaringan korban. Pengambilan kunci dari laporan ini adalah bahwa pelaku ancaman dunia maya akan menggunakan berbagai teknik untuk mengambil keuntungan dari akses jaringan mereka selama acara intrusi dunia maya. “
Sette juga memberikan rincian lebih lanjut tentang serangan ransomware Mamba:
“Karena Mamba menggunakan enkripsi disk penuh, metode serangan berbeda yang akan lebih sulit bagi TI untuk diatasi. Mamba diketahui mengeksploitasi Remote Desktop Protocol (RDP) untuk mendapatkan akses ke jaringan korban dan dapat bergerak secara lateral di seluruh jaringan.”
Sette memperingatkan bahwa Kroll percaya bahwa serangan ransomware akan terus mendapatkan uap selama pandemi COVID-19 karena meningkatnya kerentanan jaringan terkait dengan memperluas persyaratan kerja-dari-rumah, dan “banyak organisasi belum berhasil mengamankan RDP / VPN mereka.”
Insiden ransomware terbaru
Baru-baru ini, Cointelegraph melaporkan penelitian Kroll lain yang mengidentifikasi tren yang berkembang dalam penggunaan trojan Qakbot, atau Qbot. Trojan ini dikenal untuk meluncurkan kampanye pembajakan utas email dan menyebarkan serangan ransomware.
Pada 28 Mei, tim keamanan Microsoft mengungkapkan jenis ransomware baru yang menggunakan “brute force” terhadap server manajemen sistem perusahaan target. Ini terutama telah menargetkan sektor kesehatan di tengah krisis COVID-19.
