Cyberthreat.id – Muncul galur (strain) baru ransomware yang mirip dengan sampel ransomware “HelloKitty” (DeathRansom) dan “FiveHands”. Ransomware yang belum diberi nama ini dibuat dengan bahasa pemrograman yang dikembangkan di Google: Golang atau Go .

Kedua ransomware ini diduga telah aktif sejak 2019, tulis CrowdStrike, perusahaan keamanan siber asal Amerika Serikat di blog perusahaan, diakses Selasa (29 Juni 2021). Mereka juga dikaitkan dalam serangan ke pengembang game Cyberpunk77, CD Projekt Red dan lainnya.

CrowdStrike mengatakan, kesamaan strain baru dengan HelloKitty dan FiveHands karena melibatkan fungsi ransomware serupa yang ditulis dalam bahasa C++, menerima command-line arguments, penggunaan four magic bytes yang ditambahkan ke file terenkripsi, dan memakai kunci publik yang disematkan.

“Mirip dengan ransomware FiveHands, strain ini memakai paket unik executable (dapat dieksekusi) yang memerlukan key value untuk mendekripsi muatan di memori menggunakan a command-line switch”-key”,” tulis CrowdStrike.

Dengan metode memory-only dropper itulah, malware ini mencegah perangkat antimalware mendeteksi muatan akhir tanpa kunci unik yang dipakai untuk mengeksekusi paket tersebut.

Yang menarik dari strain baru itu, tidak seperti dua sebelumnya, yaitu pemakaian paket bahasa Go untuk mengenkripsi muatan ransomware yang ditulis dalam C++.

“Meski malware dan paket yang ditulis dalam Go bukan hal baru, mengompilasinya dengan Go (versi 1.16) terbaru membuatnya sulit untuk di-debug oleh peneliti malware,” tulis CrowdStrike.

Dikutip dari ZDNet, perusahaan keamanan siber Intezer, mengatakan, pemanfaatan Go ialah kejadian langka sebelum 2019, tapi sekarang, bahasa ini menjadi opsi populer karena kemudahan kompilasi kode dengan cepat untuk berbagi platform, termasuk kesulitannya untuk merekayasa balik. Tingkat sampel malware ini meningkat sekitar 2.000 persen dalam beberapa tahun terakhir.

Selain penggunaan Go, sampel ransomware itu memiliki kemampuan khas, seperti mengenkripsi file dan disk serta mengeluarkan permintaan catatan tebusan.

Ransomware juga memiliki kemampuan untuk menghapus RecycleBin dan menghapus setiap Shadow Copy by ID (“Win32_ShadowCopy.ID”) menggunakan fungsi WMI.

Catatan tebusan ditempatkan ke setiap folder dan direktori, termasuk jalur root, setelah file dienkripsi. File catatan tebusan bernama read_me_lock.txt dan memberikan instruksi kepada korban tentang cara memulihkan file terenkripsi.

Catatan tebusan mengarahkan korban ke alamat Tor untuk sesi obrolan langsung dengan operator malware dan juga mengklaim telah mencuri lebih dari 1TB dalam data pribadi, yang menunjukkan bahwa pengembang mungkin mencoba “pemerasan ganda”: jika korban menolak untuk membayar, mereka diancam dengan kebocoran informasi mereka.[]