Sebuah perusahaan keamanan meretas operator malware, mengunci mereka dari server perintah dan kontrol mereka

Ini akan membuat Anda tersenyum: Kami senang mendengar cerita tentang aktor jahat yang mendapatkan apa yang mereka inginkan. Itu bagus, meskipun tidak hanya sekelompok peretas wannabe yang dilayani (secara harfiah), banyak dari mereka menginfeksi diri mereka sendiri dengan malware karena salah mengonfigurasi perangkat keras mereka sendiri.

Startup keamanan siber Buguard sulit meretas peretas. Menggunakan kerentanan yang ditemukannya, ia menonaktifkan server malware dan ransomware, dan mematikan operatornya. TechCrunch melaporkan bahwa perusahaan telah membuat lima server command and control (C&C) offline, empat di antaranya benar-benar gelap.

Serangan balik menjadi mungkin setelah kode sumber malware bernama Mars Stealer bocor secara online. Mars Stealer adalah platform malware-as-a-service tempat peretas dapat menyewa waktu server untuk melancarkan serangan. Setelah kode sumber bocor, peretas mulai menyiapkan server secara mandiri alih-alih membayar.

Sebelum Buguard mendapatkan kodenya, peretas yang tidak kompeten sudah melakukan pekerjaan yang layak untuk memanipulasi server mereka sendiri karena petunjuk pemasangan yang salah yang bocor bersama dengan kodenya.

Catatan korban dan data yang dicuri benar-benar terbuka secara online. Menurut Morphisec, operator malware yang mengikuti instruksi yang salah akhirnya mengonfigurasi server perintah dan kontrol mereka untuk secara tidak sengaja memberikan “Akses Penuh (777)” kepada dunia. Dalam beberapa kasus, ketidakmampuan peretas potensial membuat “aset signifikan” terungkap.

Kemudian Bogard datang dan melihat kode sumber Mars Stealer dan menemukan kerentanan. Para peneliti mengembangkan kerentanan untuk bug yang memungkinkan mereka meretas ke server perintah dan kontrol, termasuk yang telah dikonfigurasi dengan benar oleh operator, dan mengambil alih.

Begitu berada di dalam sistem, Buguard menghapus catatan korban, mencuri data, dan memutus komputer yang terinfeksi dari server perintah dan kontrol. Lebih buruk lagi, para peneliti mengubah kata sandi dasbor Mars Stealer sehingga operator dilarang dari sistem mereka. Counter-Strikes secara efektif mematikan lima server karena operator harus memulai dari awal sepenuhnya untuk mengkonfigurasi ulang server mereka dan menginfeksi kembali korban mereka. Dari lima sistem C&C yang dihentikan oleh Buguard, hanya satu yang kembali online.

Meskipun senang mendengar tentang peretas yang merasakan obat mereka, apa yang dilakukan Buguard tidak sepenuhnya legal, mengubah topi putihnya menjadi abu-abu. Secara teknis, membobol sistem komputer apa pun adalah ilegal, terlepas dari penggunaannya, kecuali jika Anda berada dalam penegakan hukum dan memiliki surat perintah. Aturan umum dalam riset keamanan adalah mencari, mendokumentasikan, melaporkan, tapi jangan sentuh.

Namun, Buguard berencana untuk melibatkan pihak berwenang dan membantu mereka menghapus lebih banyak server. Sementara itu, itu tidak mempublikasikan detail kerentanan yang juga ada di malware serupa yang disebut “Erbium”, sehingga topi hitam tidak tahu apa yang harus ditambal.