Cyberthreat.id – Biro Investigasi Federal (FBI) Amerika Serikat merilis peringatan kepada industri swasta di negara itu terkait serangan ransomware Mamba.

Dikutip dari The Record, dalam peringatan itu FBI mengatakan bahwa ransomware telah menyebar dan menyerang pemerintah daerah, agen transportasi umum, layanan hukum, layanan teknologi, industri, komersial, manufaktur, dan bisnis konstruksi.

Menurut FBI, ransomware Mamba bukanlah hal baru. Ransomware yang menginfeksi sistem dan mengunci data serta menuntut uang tebusan itu telah ada setidaknya sejak 2016, ketika pertama kali terdeteksi dengan nama HDDCryptor. Sejak itu, perangkat lunak berbahayanya terus diperbaharui selama bertahun-tahun, Namun begitu, prinsip inti malware ini tetap sama: ngenkripsi data hard drive korban, kemudian menulis ulang bagian MBR (Master Boot Record) di disk.

Hal tersebut dilakukan untuk mencegah komputer yang terinfeksi memulai sistem operasi mereka, menjebak pengguna di layar pra-booting OS yang menunjukkan permintaan uang tebusan dari penyerang. Para korban kemudian diminta untuk menghubungi geng Mamba melalui email untuk merundingkan pembayaran tebusan dan perangkat mereka didekripsi.

“Setelah dienkripsi, sistem menampilkan catatan tebusan termasuk alamat email aktor, nama file ransomware, nama sistem host, dan tempat untuk memasukkan kunci dekripsi. Korban diinstruksikan untuk menghubungi alamat email pelaku untuk membayar tebusan sebagai ganti kunci dekripsi,” ungkap FBI dalam peringatannya

Dalam peringatan tersebut, seperti dilaporkan Bleeping Computer, FBI juga mengungkapkan kelemahan dari ransomware Mamba dalam proses enkripsi yang  dapat membantu organisasi yang ditargetkan pulih dari serangan tanpa membayar uang tebusan.

Untuk mendapatkan kunci enkripsi Mamba ransomware (alias HDDCryptor), korban dapat mengandalkan solusi perangkat lunak sumber terbuka bernama DiskCryptor. Namun, untuk menginstal DiskCryptor memerlukan restart sistem untuk menambahkan driver yang diperlukan.

Kunci enkripsi dan variabel waktu shutdown disimpan ke file konfigurasi (myConf.txt) dan dapat dibaca sampai restart kedua sekitar dua jam kemudian yang menampilkan catatan permintaan tebusan. Jika ada file DiskCryptor yang terdeteksi, upaya harus dilakukan untuk menentukan apakah myConf.txt masih dapat diakses. Jika demikian, maka kata sandi dapat dipulihkan tanpa membayar uang tebusan. Peluang ini hanya bisa didapat dalam dua saat, saat sistem melakukan boot ulang untuk kedua kalinya, kata FBI.

Operasi ransomware Mamba semakin meningkat dengan menggunakan varian baru dimulai pada pada paruh kedua tahun 2019. Meskipun tidak memiliki program afiliasi, Mamba adalah salah satu ancaman teratas.

Laporan Coveware, misalnya, menyebutkan pada kuartal pertama tahun lalu Mamba duduk di lima besar ancaman ransomware, sementara REvil dan Ryuk di urutan teratas.

Salah satu kekhasan Mamba ransomware adalah menimpa master boot record (MBR) disk, mencegah akses ke file terenkripsi di drive. Ini membuatnya lebih sulit  melacak jumlah serangan karena file tidak dapat dianalisis melalui layanan otomatis seperti ID-Ransomware.[]

Editor: Yuswardi A. Suud