Cyberthreat.id – Baru-baru ini peneliti keamanan siber dari FortGuard Labs menemukan varian ransomware bernama “Chaos”. Ransomware ini disembunyikan dalam file yang berpura-pura berisi daftar akun “Minecraft Alt”.

Namun, peneliti Shunichi Imano dan Fred Gutierrez mengatakan bahwa ransomware tersebut tampaknya hanya menargetkan pemain game Minecraft di Jepang.

Minecraft adalah game online milik Microsoft yang saat ini begitu populer di anak-anak, bahkan kalangan dewasa. Dirilis pada Mei 2009, game ini sebelumnya dimiliki dan dikembangkan oleh Mojang Studios asal Swedia, lalu dibeli US$2,5 miliar pada 2014 oleh Microsoft. Saat ini game ini tersedia di 22 platform, termasuk di konsol video game dan perangkat seluler. Tercatat hingga Agustus 2021, terdapat lebih dari 140 juta pemain aktif bulanan.

Dengan popularitas yang tinggi seperti itu, pengguna game ini termasuk menjadi target penjahat siber.

Modus serangan

Penyerang menawarkan akun alternatif untuk bermain di Minecraft tanpa menghapus akun utama terblokir. Pendek kata, mereka membantu menghindari akun utama terblokir karena menggunakan cheat.

Meski sering tersedia untuk umum melalui forum online Minecraft, daftar akun alternatif tersebut berisi akun-akun curian. Itulah yang digunakan oleh pelaku ancaman di balik ransomware ini untuk memikat korban agar mengunduh dan membuka file.

File tersebut dapat dieksekusi, tetapi menggunakan ikon teks untuk mengelabui calon korban agar mengira, itu adalah file teks yang penuh dengan nama pengguna dan kata sandi untuk Minecraft. “Meski kami tidak tahu bagaimana daftar palsu khusus ini didistribusikan, dapat dipastikan bahwa file tersebut diiklankan di forum Minecraft untuk gamer Jepang,” ujar peneliti dalam analisisnya yang diunggah di blog perusahaan Fortinet, diakses Selasa (2 November 2021).

Setelah file yang dapat dieksekusi dibuka, malware mencari file yang lebih kecil dari 2MB pada mesin yang disusupi dan mengenkripsinya. Lalu, menambahkan file-file itu dengan empat karakter acak yang dipilih dari "abcdefghijklmnopqrstuvwxyz1234567890" sebagai ekstensi file.

“Tidak diketahui mengapa pembuat malware memilih nilai ukuran file ini atau mengapa mereka memilih untuk mengenkripsi beberapa dan menghancurkan yang lain. Tetapi, menarik untuk dicatat bahwa malware Chaos awalnya diklasifikasikan sebagai malware penghapus dengan komponen ransomware yang ditambahkan kemudian,” ujar peneliti.

Sementara, file yang berukuran lebih besar 2MB dari jenis file tertentu ditimpa dengan data acak, sehingga  membuatnya tidak dapat dipulihkan, bahkan setelah pembayaran uang tebusan.

Malware juga mengubah wallpaper desktop, kata peneliti, kemungkinan untuk menambah tekanan kepada korban untuk membayar uang tebusan.

Sekadar diketahui, ransomware ialah program jahat yang mengunci file milik korban. Operator di balik malware ini biasa menuntut uang tebusan jika file tersebut ingin dipulihkan seperti semula.

Minta tebusan

Meski tidak mengekstrak data yang terenkripsi, malware menghapus salinan bayangan (shadow copies) dari mesin/PC yang disusupi sehingga makin memperumit pemulihan.

Para penyerang juga menuntut uang tebusan dalam bentuk cryptocurrency senilai 2.000 Yen atau sekitar US$17,5 (atau setara Rp248.729) jika ingin file tersebut dipulihkan.

“Meskipun permintaan tebusan murah, kemampuannya untuk menghancurkan data dan membuatnya tidak dapat dipulihkan membuatnya lebih dari sekadar lelucon untuk mengganggu pemain game Minecraft Jepang,” tutur peneliti.

Peneliti pun menyarankan agar terhindar dari ransomware tesebut para gamer lebih baik menjauhi dari situs web yang menyediakan cheat game.[]