Cyberthreat.id - Geng peretas ransomware baru “Epsilon Red” menargetkan kerentanan perangkat lunak email Microsoft Exchange Server dan dipakai sebagai pijakan awal untuk mengenkripsi sistem jaringan korban. (Baca: Yang Perlu Diketahui tentang Peretasan Massal Exchange Server)

Serangan Epsilon Red terdeteksi oleh perusahaan keamanan siber asal Inggris, Sophos. Di situs webnya, Jumat (28 Mei 2021), peneliti utama Sophos, Andrew Brandt, mengatakan penyerang memanfaatkan rangkaian kerentanan Microsoft Exchange Server untuk menjangkau mesin di jaringan.

Ransomware Epsilon Red, kata Andrew, ditulis dalam bahasa pemograman Go. Sementara itu, target dari geng ransomware rata-rata bisnis perhotelan di AS.

Pada 2 Maret lalu, Microsoft memperingatkan tentang eksploitasi aktif atas empat kerentanan di Exchange Server oleh kelompok peretas China bernama “Hafnium”.

Microsoft pun mendesak pelanggan untuk memperbarui Exchange Server secepat mungkin karena kerentanan masuk kategori kritis. Kerentanan tersebut mempengaruhi Exchange Server 2013, Exchange Server 2016, dan Exchange Server 2019. Sementara, Exchange Online tidak terpengaruh.

Ransomware adalah perangkat lunak yang terkenal jahat karena mengunci komputer korban dan bisa diperintah untuk mencuri data, lalu dikirimkan ke server kontrol dan perintah (C2) milik peretas. Geng peretas ini biasa meminta uang tebusan. Jika uang tak dibayar, data curian akan diekspose di internet.

Kasus ransomware terbaru yang menggemparkan dunia adalah serangan ke operator jalur pipa bahan bakar AS, Colonial Pipeline. Sampai-sampai, perusahaan harus membayar Rp63 miliar demi sistem komputer aktif kembali.

Epsilon Red bukanlah satu-satunya yang menargetkan kerentanan Microsoft Exchange Server. Pada April, Black Kingdom juga ditemukan mengeksploitasi kerentanan yang ada. Sebelumnya, geng ransomware DearCry juga menargetkan pengguna Microsoft Exchange Server yang belum menambal kerentanannya.

---

Berita Terkait:

• Ada 10 Geng Hacker Berupaya Eksploitasi Kerentanan Exchange Server
• Geng Ransomware DearCry Eksploitasi Kerentanan Exchange Server
• Microsoft: Grup Ransomware Black Kingdom Meretas 1500 Server Microsoft Exchange

---

Kemampuan malware

Dikutip dari BleepingComputer, diakses Minggu (30 Mei 2021), menurut Sophos, Epsilon Red selain mengenkripsi file juga memiliki kemampuan, antara lain:

• menghentikan proses dan layanan untuk alat keamanan, database, program cadangan, aplikasi Office, klien email
• hapus Volume Shadow Copies
• mencuri file Security Account Manager (SAM) yang berisi potongan sandi
• hapus Windows Event Logs
• nonaktifkan Windows Defender
• menangguhkan proses
• hapus instalasi alat keamanan (Sophos, Trend Micro, Cylance, MalwareBytes, Sentinel One, Vipre, Webroot)
• perluas izin pada sistem.

Untuk melakukan serangan, tahap awal peretas membawa muatan skrip berbahaya [PowerShell]. Skrip ini membawa muatan akhir yaitu Epsilon Red.

Setelah berhasil menerobos jaringan, peretas menjangkau mesin melalui Remote Desktop Protocol (RDP)—akses jarak jauh untuk desktop dan menggunakan Windows Management Instrumentation (WMI) untuk menginstal perangkat lunak dan menjalankan skrip Powershell yang mana muatan akhirnya Epsilon Red tersebut.

Peretas juga menginstal salinan Remote Utilities—perangkat lunak komersial untuk operasi desktop jarak jauh—dan peramban web Tor. Keduanya diinstal peretas sebagai semacam jendela, mereka bisa masuk semaunya ketika kehilangan akses melalui titik masuk awal.

Manajer Tim Sophos Rapid Response, Peter Mackenzie mengatakan, Epsilon Red yang termonitor tersebut tampaknya bukan karya profesional. Namun, Sophos mengatakan, perangkat jahat itu dapat mengacaukan organisasi karena tidak ada batasan untuk mengenkripsi jenis file dan folder.

Karena dapat melintasi direktori utama, Epsilon Red mungkin untuk memindai hard drive dan menambahkan jalur direktori ke daftar tujuan untuk proses enkripsi subfolder satu per satu.

Semua file dienkripsi oleh peretas Epsilon Red ditambahkan ekstensi .epsilonred, tanpa menyisihkan file yang dapat dieksekusi.

Catatan tebusan, serupa dengan milik peretas ransomware lain, disisipkan di folder yang dikunci. Catatan ini berisikan cara menghubungi peretas untuk menegosiasikan harga decryptor (pembuka enkripsi).

Peneliti Sophos menemukan keanehan dalam catatan tebusan peretas Epsilon Red karena mirip yang digunakan REvil, ransomware populer sebelumnya. Meski terlihat serupa, tampaknya peretas Epsilon memodifikasi dengan mengedit agar teksnya lebih mudah dibaca oleh penutur asli bahasa Inggris.

Sejauh ini belum diketahui asal lokasi peretas hingga asal usul dari nama mereka. Namun, Epsilon Red ialah karakter yang sedikit diketahui dari alam semesta Marvel, seorang tentara super Rusia dengan empat tentakel yang dapat bernapas di luar angkasa.

Terbilang geng ransomware baru , Epsilon Red telah menyerang beberapa perusahaan dan insiden tersebut sedang diselidiki oleh beberapa perusahaan keamanan siber.

Dari hasil pelacakan alamat mata uang kripto peretas Epsilon Red, Sophos menemukan bahwa ada transaksi di mana salah satu korbannya membayar peretas sebesar 4,28 Bitcoin pada 15 Mei (sekitar Rp2,1 miliar).[]

Redaktur: Andi Nugroho