Jakarta, Bleeping Computer — Kelompok hacker (peretas) FIN7 yang terkenal kejam terlihat menjual alat khusus “AvNeutralizer“, yang digunakan untuk menghindari deteksi perangkat Endpoint Detection and Response (EDR) dengan mematikan perangkat EDR tersebut di jaringan perusahaan.
FIN7 diyakini sebagai kelompok peretas Rusia yang aktif sejak 2013, awalnya berfokus pada penipuan keuangan dengan meretas organisasi dan mencuri kartu debit dan kredit.
Mereka kemudian pindah ke ruang ransomware dan dihubungkan dengan platform operasi ransomware seperti DarkSide dan BlackMatter. Pelaku ancaman yang sama kemungkinan besar juga terkait dengan operasi ransomware BlackCat, yang baru-baru ini melakukan exit scam setelah mencuri pembayaran uang tebusan UnitedHealth.
FIN7 dikenal dengan serangan phishing dan rekayasa canggih untuk mendapatkan akses awal ke jaringan perusahaan, termasuk meniru BestBuy untuk mengirim kunci USB berbahaya dan mengembangkan malware dan alat khusus.
Untuk menambah eksploitasi, mereka menciptakan perusahaan keamanan palsu bernama Bastion Secure untuk mempekerjakan pentester dan pengembang untuk serangan ransomware tanpa pelamar mengetahui bagaimana pekerjaan mereka digunakan.
Peretas FIN7 juga dilacak dengan nama lain, termasuk Sangria Tempest, Carbon Spider, dan Carbanak Group.
FIN7 Menjual Perangkat Lunak Mematikan Ke Peretas Lain
Dalam laporan baru oleh SentinelOne, para peneliti mengatakan bahwa salah satu alat khusus yang dibuat oleh FIN7 adalah “AvNeutralizer” (alias AuKill), alat yang digunakan untuk mematikan perangkat lunak keamanan, pertama kali ditemukan dalam serangan operasi ransomware BlackBasta pada tahun 2022.
Karena BlackBasta adalah satu-satunya operasi ransomware yang menggunakan alat tersebut pada saat itu, para peneliti percaya bahwa ada hubungan antara kedua kelompok tersebut.
Namun, telemetri bersejarah SentinelOne menunjukkan bahwa alat tersebut digunakan dalam serangan oleh lima operasi ransomware lainnya, yang menunjukkan distribusi alat tersebut secara luas.
“Sejak awal tahun 2023, data telemetri kami mengungkapkan banyak intrusi yang melibatkan berbagai versi AvNeutralizer,” jelas laporan peneliti SentinelOne, Antonio Cocomazzi.
“Sekitar 10 di antaranya disebabkan oleh intrusi ransomware yang dioperasikan manusia yang menyebarkan muatan RaaS terkenal termasuk AvosLocker, MedusaLocker, BlackCat, Trigona, dan LockBit.”
Penelitian lebih lanjut mengungkapkan bahwa pelaku ancaman yang beroperasi dengan nama samaran “goodsoft”, “lefroggy”, “killerAV”, dan “Stupor” telah menjual “AV Killer” di forum peretasan berbahasa Rusia sejak tahun 2022 dengan harga berkisar antara $4.000 hingga $15.000.
Laporan tahun 2023 dari Sophos merinci bagaimana AvNeutralizer/AuKill menyalahgunakan driver SysInternals Process Explorer yang sah untuk menghentikan proses antivirus yang berjalan di perangkat.
Pelaku ancaman mengklaim bahwa alat ini dapat digunakan untuk mematikan perangkat lunak antivirus/EDR apa pun, termasuk Windows Defender dan produk dari Sophos, SentinelOne, Panda, Elastic, dan Symantec.
SentinelOne sekarang menemukan bahwa FIN7 telah memperbarui AVNeutralizer untuk memanfaatkan driver Windows ProcLaunchMon.sys untuk menghentikan proses, membuatnya tidak lagi berfungsi dengan benar.
“AvNeutralizer menggunakan kombinasi driver dan operasi untuk menciptakan kegagalan dalam beberapa implementasi spesifik dari proses yang dilindungi, yang pada akhirnya mengarah pada kondisi penolakan layanan (denial of service),” jelas SentinelOne.
“Ini menggunakan driver monitor TTD ProcLaunchMon.sys, tersedia pada instalasi sistem default di direktori driver sistem, bersama dengan versi terbaru dari driver penjelajah proses dengan versi 17.02 (17d9200843fe0eb224644a61f0d1982fac54d844), yang telah diperkeras untuk penyalahgunaan operasi lintas proses dan saat ini tidak diblokir oleh daftar WDAC Microsoft.”
SentinelOne menemukan alat khusus tambahan dan malware yang digunakan oleh FIN7, yang diketahui tidak dijual ke peretas lainnya, diantaranya : Powertrash (PowerShell backdoor), Diceloader (backdoor yang dikontrol C2 ringan), Core Impact (perangkat pengujian penetrasi), dan backdoor berbasis SSH.
Para peneliti memperingatkan bahwa evolusi dan inovasi FIN7 yang berkelanjutan dalam peralatan dan teknik, serta penjualan perangkat lunaknya, menjadikannya ancaman yang signifikan bagi perusahaan di seluruh dunia.
“Inovasi berkelanjutan FIN7, khususnya dalam teknik canggihnya untuk menghindari tindakan keamanan, menunjukkan keahlian teknisnya,” peneliti SentinelOne, Antonio Cocomazzi, menyimpulkan.
“Penggunaan beberapa nama samaran dan kolaborasi dengan entitas penjahat cyber lainnya menjadikan atribusi lebih menantang dan menunjukkan strategi operasional canggih mereka.”
Sumber = Bleeping Computer