Cyberthreat.id – Peretas ransomware Conti terbilang pemain baru di geng ransomware karena pertama kali muncul pada 29 Mei 2020. Saat pertama kali muncul, mereka mengklaim berhasil menyerang sebanyak 150 korban dengan jumlah tebusan jutaan dolar.

Ransomware adalah jenis perangkat lunak jahat (malware) yang mengenkripsi sistem dan meminta tebusan kepada pemilik sistem jika pemilik ingin datanya bisa diakses kembali atau didekripsi.

Seperti geng ransomware pada umumnya, Conti juga mengikuti tren pemerasan ganda. Tak hanya memeras, mereka juga mencuri data, lalu mengancam akan mempublikasikan data yang dicurinya tersebut jika tebusan tidak dibayar. Itulah yang disebut pemerasan ganda.

Conti memiliki situs web resminya untuk mempublikasikan data curiannya itu, laiknya geng Egregor (Egregor News) dan geng Maze (Maze News). Situs web bernama Conti News berisikan daftar korban atau entitas yang pernah diserang disertai data yang berhasil dicurinya.

Conti disebut ancaman yang sangat merusak lantaran tak hanya mengenkripsi file pada host yang terinfeksi, tetapi juga memiliki kemampuan penyebarannya melalui server message block (SMB)— berfungsi sebagai peladen (server) yang bekerja mengirim dan menerima data melalui port 445—serta mengenkripsi file pada host yang berbeda.

“Inila mengapa berpotensi membahayakan seluruh jaringan,” kata perusahaan keamanan siber Cybereason.

Cybereason mengatakan proses enkripsi Conti hanya membutuhkan beberapa detik karena menggunakan multithreading sehingga memungkinkan pemrosesan beberapa tugas sekaligus. “Yang juga membuatnya sangat sulit untuk dihentikan begitu rutinitas enkripsi dimulai,” kata Cybereason.

Selain mengenkripsi hingga mempublikasikan data curian, Conti juga sebagai ransomware-as-a-service/RaaS (layanan ransomware yang ditawarkan ke pengguna) berkolaborasi dengan geng TrickBot. Karena promosi dibantu oleh TrickBot, Conti pun disebut menggantikan geng Ryuk atau penerusnya.

Menurut perusahaan keamanan siber Sophos, industri yang paling sering dibidik Conti ialah ritel, manufaktur, konstruksi, dan sektor publik, tapi sektor/industri apa pun bisa dibidik.

Conti diketahui memiliki salah satu pangsa pasar terbesar dari semua operator ransomware pada kuartal pertama tahun 2021, menurut temuan Coveware. Conti di kalangan peneliti keamanan dianggap sebagai penerus ransomware Ryuk. Namun, satu perbedaan signifikan antara kedua malware ialah Conti menggunakan teknik pemerasan ganda, dikutip dari CISA.

Cybersecurity and Infrastructure Security Agency (CISA) dan FBI mengamati peningkatan penggunaan ransomware Conti di lebih dari 400 serangan di AS dan organisasi internasional.

Vektor infeksi

Mengingat menjadi RaaS, Conti menginfeksi pada tahap kedua. Tahap pertama dilakukan “BazarLoader”, malware pintu belakang (backdoor), yang memang seringkali menjadi tahap awal infeksi sebelum adanya muatan tambahan.

Vektor infeksi awal untuk memuat malware tahap awal ini melalui email phishing. Penyerang mencoba menginfeksi korban dengan email phishing berisi tautan ke Google Drive. File yang ada di Google Drive yakni berbentuk PDF yang menyimpan muatan backdoor. Nanti, backdoor itulah yang menaruh atau sebagai pembawa muatan ransomware Conti.

Sejauh ini, vektor infeksinya tidak berubah meskipun sudah mengalami tiga kali perubahan pada ransomware-nya, menurut peneliti Cybereason.

Tiga versi sejak Mei hingga akhir 2020

Ransomware Conti telah melalui tiga versi. Awalnya ketika muncul pertama kali pada 29 Mei 2020, versi dua pada Oktobe 2020r, dan versi tiga pada November dan Desember 2020.

Operartor Conti menambahkan banyak kemampuan yang membuat ransomware itu semakin canggih dalam merusak sistem. Salah satu perubahan signifikan ada pada nama file catatan tebusan dari Conti_readme.txt menjadi readme.txt pada Desember 2020.

Begitu pula email atau URL yang disematkan memiliki perubahan dari versi pertama hingga ketiga, bnetuknya, aktivitas penyebaran melalui SMBnya yang semakin hari dapat bertindak tanpa argumen baris perintah, hingga catatan tebusan yang terlihat semakin banyak kalimat di dalamnya.

Adapun perubahannya pada versi pertama hanya mengeksekusi secara independen berubah menjadi tambahan Loader (pemuat) dynamic link library (DLL)—jenis file yang berisi instruksi yang dapat dipanggil oleh program lain untuk melakukan hal-hal tertentu.

Bagaimana mencegah ransomware Conti?

Cybereason mengatakan perlunya menggunakan anti-malware, menambah sistem agar kerentanan berkurang, mencadangkan file ke server jarak jauh, gunakan solusi keamanan seperti firewall, proxy, pemfilteran web, dan pemfilteran email.[]

(Keterangan: artikel pernah terbit pada awal 2021 dengan judul " Mengenal Sepak Terjang Geng Hacker Ransomware Conti" dengan beberapa pembaruan. Kami sengaja menerbitkan kembali agar pembaca bisa mengetahui latar belakang geng ransomware Conti yang diduga menyerang Bank Indonesia.)