Ransomware
Tiga bulan sudah berlalu di tahun 2016, namun ada jejak-jejak merah yang masih membekas dengan jelas dalam lintasan perjalanan waktu di dunia TI, hanya dalam waktu yang singkat, begitu banyak memori buruk yang memberkas dan membawa luka yang sukar terobati, saat perampok dan pemeras ganas menggila dan mengancam seluruh dunia, dengan menyandera jutaan data-data penting, namun dianggap tak berharga jika tidak memenuhi segala keserakahan mereka, dengan menebar ransomware, malware berbahaya yang kini menjadi mitraliur terdepan penjahat dunia maya untuk memeras siapa saja yang menjadi korbannya.
Sejumlah nama seperti Locky, TeslaCrypt dan beberapa nama lainnya terdengar begitu menggidikan bulu roma para IT dan pengguna internet di belahan dunia manapun, mereka semua jengah setiap kali mendengar nama-nama sang pembawa wabah, karena sangat memahami dampak dan konsekuensi seperti apa yang akan dituai jika terpapar oleh racun berbisa dunia maya, Meski demikian kami bermaksud memberikan kilas balik atas apa yang terjadi selama 3 bulan terakhir, bukan untuk menakut-nakuti, tapi untuk mengingatkan, agar terus waspada dan selalu berhati-hati terhadap serangan dan bahala yang dibawa ransomware.
LOCKY
Mendengar namanya mungkin kita akan teringat dengan seorang tokoh supervillain yang menjadi musuh para superhero dalam film Avenger, dengan kekuatan dan ulah magisnya menggegerkan dunia, membuat gempar dan menjatuhkan banyak korban. Setali tiga uang dengan ransomware Locky yang dalam kehidupan nyata juga menjadi musuh bagi dunia, kehadirannya sama persis seperti apa yang ditunjukkan Locky dalam dunia cinema dengan membuat kekacauan dan kehancuran.
ESET mendeteksinya sebagai Win32/Filecoder.Locky
Modus Operandi
Ransomware supervillain ini melakukan pekerjaannya dengan cara didistribusikan dalam bentuk invoice email attachment (file word yang ditanamkan dengan macro ganas).
Locky mengincar user menggunakan email dengan subject yang tersamar, seperti Invoice, Purchase Order, Payment yang akan mengundang orang untuk membuka attachment. Saat user membuka dokumen file attachment tersebut, secara otomatis akan menemukan konten dan pop up yang meminta “enable macros” serta mengaktifkan secara sadar.
Setelah macro (malicious) di ‘enables’, komputer akan mendownload excutable dari remote server dan menjalankannya. Executable itu adalah Ransomware Locky, saat mulai beraksi akan langsung mengenkripsi semua file pada komputer begitu juga dengan file yg disharing di jaringan.
Ciri khas
- Menambahkan ekstensi .Locky
- Mengenkripsi lebih dari 100 ekstensi termasuk semua ekstensi populer.
- Mengenkripsi backup file jaringan
- Diterjemahkan dalam banyak bahasa
TESLACRYPT NEW VARIAN
Jangan tanya soal ransomware Teslacrypt, bukan hanya di tahun 2016, malah sejak dari tahun 2015 malware menyeramkan ini sudah membuat huru hara dengan korban yang berjatuhan dimana-mana. Di awal bulan Maret Tesla kembali lagi dengan kemampuan yang sudah disempurnakan dan mengupgrade dirinya menjadi versi tiga dengan varian baru yang tidak kalah ganas seperti sebelumnya.
ESET mendeteksi sebagai: Win32/Filecoder.TeslaCrypt
Modus Operandi
Ransomware menyusup via email berisi weblink maupun attachment bermuatan trojan. Subject email yang sangat mengundang pembaca untuk mengklik isi. Seperti invoice’ quotation atau payment notice, pada tahap selanjutnya akan terhubung ke remote URL untuk mendownload malware varian TeslaCrypt. Sehingga otomatis sistem komputer perusahaan langsung tersandera oleh ransomware.
Ciri khas
- Mengubah file ekstensi menjadi .xxx, .ttt, .micro dan .MP3
- Menggunakan modifikasi algoritma exchange key.
- Menggunakan teknik enkripsi yang rumit.
CERBER
Jarak kemunculan Cerber dengan Tesla yang hanya dalam hitungan jari, semakin membuat pengguna internet bertambah was-was, seakan-akan para cybercriminal tidak ingin memberi kesempatan pada siapapun untuk mengambil nafas sejenak, mereka tidak peduli sudah berapa banyak ransomware bermunculan sebelumnya, seperti seorang pemburu dengan sebuah senjata laras panjang ditangan yang terus mengokang dan menembakkan senapan, menembaki semua sasaran yang ada dalam jangkauan. Cerber ibarat peluru berikutnya yang mereka tembakkan yang terus mengejar kemana pun mereka pergi, sampai korban jatuh terjengkang dan meminta ampunan.
Tetapi mana ada ransomware yang mau memberi ampunan, kecuali permintaan tebusan mereka dipenuhi, itupun belum bisa dijadikan jaminan, karena adakalanya mereka enggan memberikan kunci dekripsi meskipun tebusan sudah diberi. Seperti Teslacrypt, Cerber juga berasal dari Rusia, negara yang beberapa tahun belakangan terkenal dengan produksi malwarenya.
ESET mendeteksi sebagai: Win32/Filecoder.Cerber
Modus Operandi
Ketika pertama kali beraksi, Cerber akan memeriksa untuk melihat apakah korban berasal dari negara tertentu. Jika komputer korban berasal dari negara-negara seperti Armenia, Azerbaijan, Belarus, Georgia, Kyrgyztan, kazakstan, Moldova, Rusia, Turkmenistan, Tajikistan, Ukraina dan Uzbekistan, maka Cerber akan mematikan dirinya sendiri dan membatalkan enkripsi komputer.
Seperti kebanyakan ransomware, Cerber juga memanfaatkan email sebagai sarana untuk menyebarkan diri dan mencari korban, dengan teknik social engineering, mereka berusaha menyakinkan bahkan menakuti-nakuti calon korban untuk mengklik attachment yang ada di dalam email, jika itu terjadi, maka tahap selanjutnya tidak perlu diceritakan lagi.
Ciri Khas
- Menambahkan ekstensi .CERBER
- Menggunakan file konfigurasi JSON saat berjalan.
- Menggunakan 12 bahasa pengantar Belanda, Inggris, Italia, Jepang, Jerman, Spanyol, Perancis, Portugis, Polandia, Tiongkok, dan Turki.
- Mengenkripsi lebih dari 300 ekstensi
- Ransomware ini terlarang untuk 12 negara yaitu Armenia, Azerbaijan, Belarus, Georgia, Kyrgyztan, kazakstan, Moldova, Rusia, Turkmenistan, Tajikistan, Ukraina dan Uzbekistan.
KERANGER
2016 benar-benar menjadi tahunnya ransomware, belum habis cerita tentang malware yang satu muncul lagi yang baru, seperti serangan yang datang bertubi-tubi, ibarat air bah yang mengalir deras ke segala penjuru dan melibas semua tanpa ampun dan tanpa pandang bulu.
KeRanger adalah ancaman yang berani menginvansi ke sistem operasi lain. Setelah berulangkali terdeteksi dengan varian-varian baru di Windows, dan Android. Kini mereka memfokuskan serangan khusus terhadap Mac OS X, sesuatu yang cukup mengejutkan mengingat modus bisnis kriminal ini umumnya hanya menyerang Windows dan mobile platform. Namun demikian ini juga bisa menjadi indikasi keberhasilan mereka pada Windows sehingga ingin dilanjutkan dengan menjajah Mac.
ESET mendeteksi sebagai: OSX/Filecoder.KeRanger.A
Modus Operandi
KeRanger menginfeksi Installer Transmission menyertakan file tambahan bernama General.rtf dalam direktori Transmission.app/Contents/Resources. Menggunakan ikon yang terlihat seperti file RTF yang sebenarnya adalah format file executable Mach-O yang dikemas dengan UPX 3.91. Sehingga saat user mengkliknya bundel executable Transmission.app/Content/MacOS/Transmission mereka akan menyalin file General.rtf ini ke /Library/kernel_service dan mengeksekusi “kernel_service” sebelum user interface muncul.
Setelah membongkar paket General.rtf dalam UPX, dan ketika pertama kali dijalankan KeRanger akan membuat tiga file “.kernel_pid”, “.kernel_time” dan “.kernel_complete” kemudian hibernasi selama 3 hari. General.rtf kemudian akan mengumpulkan data mengenai spesifikasi Mac seperti nama model dan UUID, mengupload informasi ke salah satu server C2. Lalu pada tahap selanjutnya ia akan mengenkripsi seluruh file.
Ciri Khas
- Khusus menyerang Mac
- Menyebar melalui installer aplikasi Transmission versi 2.90 klien Bittorrent untuk Mac OS X
- Menggunakan sertifikat valid dari developer Mac
- Mengenkripsi 300 file ekstensi
- Trojan KeRanger menggunakan algoritma cryptographic (RSA-2048 dan AES-256)
TESLACRYPT 4.0
Pengembang TeslaCrypt sepertinya tidak pernah berhenti untuk terus memberi kejutan yang tidak mengenakkan pengguna komputer, tidak puas dengan versi 3.0 dan beberapa varian, mereka melanjutkan dengan mengupgrade ke versi 4.0, dengan tidak lagi menambahkan ekstensi nama file, membuatnya semakin sulit dilacak, selain itu mereka juga memodifikasi dokumen instruksi tebusan, namun mereka masih memanfaatkan social engineering sebagai alat untuk menjebak korban.
TeslaCrypt 4.0 versi awal memiliki kesalahan code yang mengakibatkan file dengan ukuran lebih dari 4GB rusak saat dienkrip. Versi terakhir tidak lagi merusak file korban serta memiliki fungsi tambahan, yaitu mengambil data komputer lebih rinci dan mengirimnya ke server Command & Controlserta mengidentifikasi serial number Windows dan waktu sistem Bios.
ESET mendeteksi sebagai: Win32/Filecoder.TeslaCrypt
Modus Operandi
Para pelaku menggunakan social engineering atau mengaburkan script pada halaman situs yang sudah dikompromikan untuk mengarahkan user ke domain yang mendukung perangkat eksploitasi mereka. TeslaCrypt 4.0 memindai berbagai macam format file komputer dan mengenkripsinya dengan standar kriptografi RSA 4096. Selanjutnya, ransomware mengarahkan semua file dan folder yang terinfeksi ke desktop. Virus juga mengubah wallpaper ke versi PNG yang berisi informasi pemulihan data.
Ketika TeslaCrypt mulai mengenkripsi data, ia akan terhubung dengan gateway server Command & Control dan mengirim pesan POST terenkripsi, saat pesan didekripsi, salah satu value dalam pesan yang disebut version menampilkan versi terbaru dari TeslaCrypt.
Ciri Khas
- Tidak menambahkan ekstensi, Versi 4.0 berkembang biak tanpa menambahkan elemen data dengan string apapun.
- Modifikasi pada nama dari dokumen instruksi tebusan.
- Mengubah wallpaper ke versi PNG yang berisi informasi pemulihan data.
- Mengenkripsinya dengan RSA 4096 standar kriptografi
Mengenali dan memahami bagaimana cara kerja ransomware adalah salah satu langkah awal untuk melakukan tindakan antisipatif yang diperlukan, dalam buku filsafat militer The Art of War atau Seni Perang Sunzi, Sun Tzu mengatakan “Kenali dirimu, kenali musuhmu, dan kenali medan tempurmu. Dan kau akan memenangi seribu pertempuran” Sebuah kalimat sederhana yang bisa diejawantahkan kedalam berbagai bidang kehidupan, terutama di dunia TI, filsafat ini dapat diselaraskan dengan apa yang kerap dialami oleh pengguna komputer dan pakar TI yang seringkali menghadapi pertempuran hidup mati melawan para hacker.
Dengan mengetahui atau mengenali kekuatan diri sendiri kemudian memahami seperti apa kekuatan lawan berarti kita sudah lebih dari separuh jalan dalam memenangi pertempuran, dengan adanya kompilasi ini ESET berharap para pengguna internet dapat memahami apa yang sedang mereka hadapi, khususnya ransomware yang belakangan terus mewabah. Digitalmania. (VA)