Meskipun kelompok ransomware awalnya diluncurkan tanpa situs kebocoran data, catatan tebusan terbaru mereka sekarang ditautkan ke situs tersebut, menunjukkan bahwa data masih diserang dan akan digunakan dalam skema pemerasan ganda.

BleepingComputer mengetahui banyak sampel ransomware Brain Cipher yang diunggah ke berbagai situs berbagi malware selama dua pekan terakhir.

BleepingComputer membuat sejumlah sampel menggunakan builder LockBit 3.0 yang bocor, yang banyak disalahgunakan oleh pelaku ancaman lain untuk meluncurkan operasi ransomware mereka sendiri.

Namun, Brain Cipher telah membuat beberapa perubahan kecil pada enkripsi tersebut.

Salah satu perubahan tersebut adalah bahwa ia tidak hanya menambahkan ekstensi ke file yang dienkripsi tetapi juga mengenkripsi nama file, seperti yang ditunjukkan di bawah ini.

Enkripsi tersebut juga akan membuat catatan tebusan yang diberi nama dalam format [ekstensi].README.txt, seperti yang ditunjukkan di bawah ini. Catatan tebusan ini secara singkat menjelaskan apa yang terjadi, membuat ancaman, dan menautkan ke situs negosiasi Tor dan kebocoran data.

Dalam satu catatan yang dilihat oleh BleepingComputer, pelaku ancaman sedikit menyimpang dari template dan menggunakan nama file 'Cara Mengembalikan File Anda.txt.'

Setiap korban memiliki ID enkripsi unik yang dimasukkan ke situs negosiasi Tor pelaku ancaman. Seperti banyak operasi ransomware baru-baru ini, situs negosiasi ini cukup sederhana, hanya menyertakan sistem obrolan yang dapat digunakan korban untuk berkomunikasi dengan kelompok ransomware.

Seperti operasi ransomware lainnya, Brain Cipher akan membobol jaringan perusahaan dan menyebar secara lateral ke perangkat lain. Setelah pelaku ancaman mendapatkan kredensial admin domain Windows, mereka menyebarkan ransomware ke seluruh jaringan.

Namun, sebelum mengenkripsi file, pelaku ancaman akan mencuri data perusahaan untuk pemerasan, memperingatkan korban bahwa data tersebut akan dipublikasikan jika tebusan tidak dibayar.

Brain Cipher tidak berbeda dan baru-baru ini meluncurkan situs kebocoran data baru yang saat ini tidak mencantumkan korban.

Dari negosiasi yang dilihat oleh BleepingComputer, kelompok ransomware telah meminta tebusan mulai dari $20 ribu atau setara Rp 327 juta hingga $8 juta atau setara Rp 131 miliar.

Karena enkripsi tersebut didasarkan pada enkripsi LockBit 3 yang bocor, enkripsi tersebut telah dianalisis secara menyeluruh di masa lalu, dan kecuali Brain Cipher mengubah algoritme enkripsi, tidak ada cara yang diketahui untuk memulihkan file secara gratis.(*)