Security

Peretas Gunakan Alat Forensik Velociraptor untuk Meluncurkan Serangan Ransomware LockBit dan Babuk

October 10, 2025
2 minutes read

Cisco Talos dan Halcyon temukan penggunaan alat DFIR legal dalam operasi Storm-2603 yang diduga berbasis di Tiongkok

9 Oktober 2025 — Peneliti keamanan dari Cisco Talos melaporkan bahwa kelompok peretas yang dilacak sebagai Storm-2603 kini memanfaatkan Velociraptor, alat Digital Forensics and Incident Response (DFIR) sumber terbuka, dalam serangan yang menyebarkan ransomware LockBit dan Babuk.

Velociraptor awalnya dikembangkan oleh Mike Cohen dan kini dikelola oleh Rapid7, yang menyediakan versi komersial dengan fitur tambahan untuk pelanggan korporat. Namun, versi lama dari alat ini kini disalahgunakan oleh penyerang untuk mendapatkan akses jarak jauh, mempertahankan persistensi, dan mengeksekusi perintah arbitrer pada sistem korban.

Disalahgunakan untuk Akses Persisten

Menurut Cisco Talos, pelaku menginstal Velociraptor versi 0.73.4.0, yang rentan terhadap CVE-2025-6264, celah eskalasi hak akses yang memungkinkan pengambilalihan penuh sistem. Setelah memperoleh akses awal, pelaku membuat akun administrator lokal yang disinkronkan ke Microsoft Entra ID, memberi mereka kendali permanen atas konsol VMware vSphere dan mesin virtual korban.

“Setelah mendapatkan akses awal, aktor ancaman memasang versi Velociraptor yang rentan untuk menjalankan perintah arbitrer dan mempertahankan kendali atas endpoint,” jelas laporan Cisco Talos.

Penyerang juga menjalankan perintah jarak jauh menggunakan gaya Impacket smbexec, menambahkan scheduled tasks untuk menjalankan skrip otomatis, dan menonaktifkan Microsoft Defender dengan mengubah Group Policy Object (GPO) agar perlindungan real-time serta pemantauan aktivitas file dimatikan.

Dari LockBit ke Babuk di Lingkungan Multi-Platform

Serangan ini menargetkan sistem Windows dan VMware ESXi secara bersamaan. Di sisi Windows, solusi EDR mendeteksi file berakhiran “.xlockxlock”, ekstensi yang sebelumnya terlihat pada varian Warlock ransomware. Sementara pada sistem Linux-ESXi, ditemukan biner yang diidentifikasi sebagai Babuk ransomware.

Sebelum melakukan enkripsi, pelaku menjalankan skrip PowerShell tanpa file untuk mengekstrak data korban sebagai bagian dari skema double-extortion, menggunakan jeda waktu (Start-Sleep) agar aktivitas tidak terdeteksi oleh sandbox. Proses enkripsi massal dilakukan dengan fileless PowerShell encryptor yang menghasilkan kunci AES acak pada setiap eksekusi.

Indikasi dan Atribusi

Menurut Halcyon, Storm-2603 kemungkinan berafiliasi dengan aktor negara Tiongkok dan terkait dengan operasi Warlock ransomware serta CL-CRI-1040. Kelompok ini juga pernah bertindak sebagai afiliasi LockBit.

Cisco Talos telah merilis indikator kompromi (IoCs) yang mencakup file Velociraptor dan artefak lain yang digunakan dalam serangan, membantu organisasi untuk mendeteksi dan memblokir aktivitas terkait.

Rekomendasi Keamanan

  • Perbarui semua versi Velociraptor ke rilis terbaru dari Rapid7 untuk menutup celah CVE-2025-6264.
  • Monitor aktivitas PowerShell dan SMB yang mencurigakan pada endpoint.
  • Terapkan kebijakan hak istimewa minimum (least privilege) dan pantau akun admin lokal yang baru dibuat.
  • Isolasi sistem virtualisasi (vSphere/ESXi) dari akses internet langsung.

Serangan ini menyoroti meningkatnya tren penyalahgunaan alat keamanan legal (living-off-the-land), di mana pelaku menggunakan perangkat DFIR dan administrasi sistem sah untuk menghindari deteksi.

Sumber: Cisco Talos, Halcyon, Sophos

Tags
October 10, 2025
2 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button