Sinyal Tren Baru
Biasanya, perantara akses awal menjual akses yang mereka peroleh di dark web kepada para pelaku kejahatan siber lainnya. Namun dalam kasus ini, mereka tampaknya melanjutkan serangan itu sendiri dengan menyebarkan ransomware.
“Jika para perantara tersebut memang pelaku yang sama yang menyebarkan ransomware, ini dapat menjadi sinyal tren baru, yang menciptakan opsi pembajakan tambahan tanpa ketergantungan pada kelompok Ransomware-as-a-Service (RaaS) tradisional,” kata Cristian Souza, Spesialis Respons Insiden di Kaspersky Global Emergency Response Team.
Selain itu, ransomware tersebut menggunakan ChaCha20, sebuah stream cipher modern yang dikenal karena kecepatan dan keamanannya.
Meski pelaku di balik peretasan tersebut belum membagikan data curian apa pun secara publik atau mengajukan tuntutan lanjutan, para peneliti tetap memantaunya secara ketat untuk aktivitas baru.
“Biasanya, penyerang menggunakan forum atau portal bayangan untuk membocorkan informasi sebagai cara untuk menekan korban agar membayar tebusan, namun ini tidak terjadi pada Ymir,” kata Souza.
“Mengingat hal ini, pertanyaan tentang kelompok mana yang berada di balik ransomware tersebut masih belum ditemukan, dan kami menduga ini mungkin merupakan kampanye baru,” imbuhnya.
