Digitalmania – Ransomware as a Service (RaaS) adalah rancang bangun modul serangan malware yang secara tidak sengaja mengorganisir orang-orang melakukan tindak kejahatan cyber memanfaatkan ransomware yang bisa dibuat sendiri seperti yang diinginkan. Tergiur mendapatkan uang mudah menjadi godaan bagi siapa saja, sehingga motif kejahatan ekonomi selalu terdepan terutama bagi mereka yang baru memasuki dunia kiminal, melalui ransomware mereka mampu melakukan serangan secara masif tanpa komando, seperti yang ditunjukkan oleh salah satu ransomware, yaitu EnCiPhErEd dengan builder sederhana dan mudah dipakai.
EnCiPhErEd berasal dari keluarga ransomware Xorist mulai sering terlihat dan aktif menyerang, Keluarga ini menginfeksi komputer menggunakan builder yang membantu malware distributor dengan mudah menciptakan versi ransomware mereka sendiri. Masalahnya file ekstensi yang dienkripsi, file yang menjadi target dan pesan ransom note bisa disesuaikan sehingga semakin membuat sulit korban dalam menemukan bantuan yang tepat untuk mengatasi ransomware yang menyerang. EnCiPhErEd mengenkripsi data dengan XOR atau TEA encryption.
Membangun Ransomware Sendiri
Membuat sendiri ransomware Xorist executable sangat mudah selama memiliki builder nya. Builder ini disebut Encoder Builder v.24 dari [Pastorok], kemungkinan besar dibeli cybercriminal dari forum malware dan exploit di darkweb. Setelah seseorang memiliki builder, mereka dengan mudah bisa menjalankannya dan memilih opsi sesuai yang mereka ingin gunakan dalam versi ransomware mereka. Usai mengkonfigurasi dengan benar, tinggal klik sebuah tombol maka executable ransomware tercipta. Sekarang tinggal bagaimana builder mencari jalan bagaimana mendistribusikannya.
Dari penjelasan diatas, bisa dibayangkan bagaimana membuat ransomware menggunakan builder merupakan praktik yang mudah untuk semua orang. Hanya memilih dari beberapa opsi yang ingin digunakan dan klik tombol. Builder kemudian akan meminta kemana menyimpan executable dan kemudian builder bisa mendistribusikannya.
Secara default, builder mengkonfigurasi dengan pesan standar ransom note, dimana korban diperintahkan untuk mengirim pesan SMS berisi ID khusus nomer yang ditunjuk. Karena setiap ransomware ini memanfaatkan password yang sama untuk setiap korban, pengembang malware menggunakan ID untuk menentukan password apa yang akan dikirim ke korban setelah pembayaran dilakukan.
Korban kemudian mengambil password dan memasukkannya kedalam prompt ransomware, andai benar, ransomware akan mendekripsi file yang terenkripsi.
Secara default enkripsi yang digunakan untuk varian ini adalah TEA, passwordnya 4kuxF2j6JU4i18KGbEYLyK2d, dan file ekstensi enkripsi adalah .EnCiPhErEd. Default untuk ransom note, HOW TO DECRYPT FILES.txt.
Ekstensi yang menjadi target oleh ransomware, yaitu:
*.zip, *.rar, *.7z, *.tar, *.gzip, *.jpg, *.jpeg, *.psd, *.cdr, *.dwg, *.max, *.bmp, *.gif, *.png, *.doc, *.docx, *.xls, *.xlsx, *.ppt, *.pptx, *.txt, *.pdf, *.djvu, *.htm, *.html, *.mdb, *.cer, *.p12, *.pfx, *.kwm, *.pwm, *.1cd, *.md, *.mdf, *.dbf, *.odt, *.vob, *.ifo, *.lnk, *.torrent, *.mov, *.m2v, *.3gp, *.mpeg, *.mpg, *.flv, *.avi, *.mp4, *.wmv, *.divx, *.mkv, *.mp3, *.wav, *.flac, *.ape, *.wma, *.ac3
Fitur yang bisa disesuaikan dalam builder meliputi:
- Ransom note text
- Encrypted file extension
- Targeted File Extensions
- Amount of password attempts per running of the infection
- Whether to display a messagebox after the infection has encrypted the victim’s files.
- The encryption algorithm (TEA or XOR)
- The decryption password.
- The icon to use for the malware executable.
- Whether to change the wallpaper
- If it should start automatically
- Whether it should generate ransom notes in each folder
- If it should be packed with UPX.
Mayoritas infeksi yang disebabkan ransomware Xorist tidaklah serumit yang dibayangkan. Masalah utamanya adalah builder yang digunakan bisa dimanfaatkan oleh siapa saja dengan menjadi distributor untuk mencoba mendapatkan uang tunai dalam pasar ransomware yang luas ini.
File yang ditambahkan oleh Xorist
- %Temp%\[random].exe
- %UserProfile%\Desktop\HOW TO DECRYPT FILES.txt
Awan gelap tidak selamanya mampu menaungi langit dunia TI, sinar terang pasti akan mucul dan mencari jalan bagi mereka yang berada dalam kegelapan, seperti halnya dengan ransomware EnCiPhErEd yang datang membawa kekelaman, namun dapat dipupus dengan terciptanya decrypter yang mampu meredam bahkan menaklukan varian keluarga ransomware Xorist itu. Jadi tidak ada alasan bagi pengguna internet untuk merasa kuatir, meski demikian kewaspadaan masih harus terus dipupuk untuk menghindari atau mencegah datangnya bala. Digitalmania. (VA)