Hacker Twelve: Hancurkan Sistem Rusia Tanpa Tebusan

Sebuah kelompok hacker yang dikenal sebagai Twelve telah teridentifikasi melakukan serangan siber di Rusia. Menurut analisis yang dilakukan oleh Kaspersky, kelompok ini memiliki pendekatan yang berbeda dari kebanyakan peretas. “Alih-alih meminta uang tebusan untuk mendekripsi data, Twelve lebih memilih untuk mengenkripsi data korban dan menghancurkan infrastruktur mereka dengan penghapus guna mencegah pemulihan,” ungkapnya.

Strategi ini menunjukkan keinginan kelompok untuk menyebabkan kerusakan maksimal pada organisasi yang menjadi targetnya, tanpa mengharapkan keuntungan finansial yang langsung.

Kelompok peretasan ini, yang diperkirakan terbentuk pada bulan April 2023 seiring dengan dimulainya konflik Rusia-Ukraina, telah menunjukkan rekam jejak dalam meningkatkan serangan siber yang bertujuan melumpuhkan jaringan target dan mengganggu operasi bisnis mereka.

Twelve juga terlibat dalam tindakan peretasan dan pembocoran informasi sensitif, yang kemudian disebarkan melalui saluran Telegram. Kaspersky melaporkan bahwa Twelve memiliki keterkaitan infrastruktur dan taktis dengan kelompok ransomware yang dikenal sebagai DARKSTAR (alias COMET atau Shadow), yang meningkatkan kemungkinan adanya hubungan antara kedua kelompok atau mereka merupakan bagian dari aktivitas cluster yang sama.

Sambil menegaskan bahwa tindakan Twelve mencerminkan karakter hacktivist, Kaspersky menyoroti bahwa DARKSTAR mengikuti model pemerasan ganda yang lebih tradisional. “Variasi dalam tujuan kelompok ini menunjukkan kompleksitas dan keragaman yang terkandung dalam ancaman siber modern,” tambahnya.

Rantai serangan dimulai dengan akses awal yang diperoleh melalui chip lokal atau domain yang valid, selanjutnya melakukan pergerakan lateral dengan menggunakan Remote Desktop Protocol (RDP). Beberapa serangan juga dilakukan melalui para kontraktor korban.

“Kelompok ini berhasil mendapatkan akses ke infrastruktur kontraktor dan menggunakan sertifikatnya untuk menghubungkan ke klien VPN mereka,” jelas Kaspersky. “Setelah memperoleh akses tersebut, mereka dapat mengakses sistem klien melalui RDP dan menembus infrastruktur tersebut.”

Di antara berbagai alat yang digunakan oleh Twelve, terdapat Cobalt Strike, Mimikatz, Chisel, BloodHound, PowerView, adPEAS, CrackMapExec, Advanced IP Scanner, dan PsExec. Alat-alat ini dimanfaatkan untuk pencurian kredensial, penemuan, peta jaringan, dan eskalasi hak istimewa. Koneksi RDP berbahaya tersebut kemudian dialirkan melalui ngrok.

Selain itu, Twelve juga menggunakan shell web PHP yang mampu mengeksekusi perintah secara sewenang-wenang, memindahkan file, atau mengirim email. Berbagai program, seperti shell web WSO, juga tersedia di GitHub.

Dalam satu kejadian yang diteliti oleh Kaspersky, kelompok ini memanfaatkan kerentanan keamanan yang diketahui (seperti CVE-2021-21972 dan CVE-2021-22005) di VMware vCenter untuk mengirimkan web shell yang kemudian digunakan untuk menyisipkan backdoor yang dikenal sebagai FaceFish.

Untuk memperkuat pijakan mereka di infrastruktur domain, para penyerang menggunakan PowerShell untuk menambah pengguna dan grup domain, serta untuk memodifikasi Access Control Lists (ACL) pada objek Active Directory. Untuk menghindari deteksi, mereka menyamarkan malware dan aktivitas mereka dengan nama-nama produk atau layanan yang telah dikenal, seperti “Update Microsoft,” “Yandex,” “YandexUpdate,” dan “intel.exe.”

Serangan ini juga menonjol dengan penggunaan script PowerShell (“Sophos_kill_local.ps1”) yang dirancang untuk menghentikan proses yang berkaitan dengan perangkat lunak keamanan Sophos di host yang telah disusupi.

Pada tahap akhir serangan, kelompok ini menggunakan Windows Task Scheduler untuk meluncurkan ransomware dan muatan penghapus data, setelah terlebih dahulu mengumpulkan dan mengeksfiltrasi informasi sensitif mengenai korbannya melalui layanan berbagi file yang dikenal sebagai DropMeFiles dalam bentuk arsip ZIP.

Para peneliti Kaspersky menyebutkan bahwa kelompok ini menggunakan versi ransomware LockBit 3.0 yang populer, yang disusun dari kode sumber yang tersedia untuk umum, untuk mengenkripsi data. Sebelum melakukan enkripsi, ransomware ini menghentikan proses yang dapat mengganggu akses ke file yang akan dienkripsi.

Penghapus data, yang mirip dengan malware Shamoon, bertanggung jawab untuk menulis ulang master boot record (MBR) pada drive yang terhubung dan menimpa seluruh isi file dengan byte yang dihasilkan secara acak, yang pada gilirannya mencegah pemulihan sistem secara efektif.

Kaspersky menekankan bahwa kelompok ini mengandalkan perangkat malware yang tersedia secara publik dan telah dikenal secara luas, menunjukkan bahwa mereka tidak mengembangkan perangkat mereka sendiri. Hal ini memungkinkan untuk mendeteksi dan mencegah serangan yang dilakukan oleh Twelve  dengan lebih cepat.