Ilustrasi | Foto: freepik.com
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Sejumlah perusahaan di Indonesia di sektor manufaktur dan infrastruktur telekomunikasi, menjadi target serangan Emotet.
Emotet adalah perangkat lunak jahat yang sangat populer di dunia peretas. Malware ini terkenal ganas karena kemampuannya membawa muatan jahat lain, seperti ransomware untuk serangan tahap berikutnya. (Baca: Awas Emotet! Malware Paling Berbahaya di Dunia Bangkit dari Kubur)
Penyerang mendistribusikan Emotet melalui email phishing. Salah satu email yang dipakai penyerang menyamar seolah-lah berasal dari Kementerian Energi dan SDM.
Sampel email tersebut ditemukan peneliti keamanan siber Adi Saputra, awal Februari lalu. Isi email tersebut tentang “pengajuan laporan 6 bulanan SKUP Industri Penunjang Migas”.
Dalam email palsu itu, penyerang menyamar sebagai pengawai Kementerian ESDM “Subdit Pemberdayaan Potensi Dalam Negeri Migas” dengan alamat email dmbd.migas@esdm.go.id.
Jika melihat nama lembaga dan email tersebut, memang sangat meyakinkan. Apalagi saat dicek di Kementerian ESDM, lembaga tersebut memang ada di bawah Direktorat Jenderal Minyak dan Gas Bumi.
Berikut ini cuplikan email tersebut:
“Yang terhormat,
Pimpinan Badan Usaha Industri Penunjang Migas di Tempat
Dalam rangka pembinaan dan pengawasan usaha industri penunjang migas dan sesuai dengan ketentuan dalam Permen ESDM N0.14 Tahun 2018 tentang Kegiatan Usaha Penunjang Migas, berikut terlampir kami sampaikan Format Pengajuan Laporan 6 Bulanan SKUP Industri Penunjang Migas. Dimohon untuk menyampaikan laporan berkala 6 (enam) bulanan dengan mengikuti konsep surat sebagaimana terlampir beserta dengan daftarnya dalam format excel.”
Email jahat tersebut, kata Adi, tampaknya disebarkan secara acak, sampai-sampai perusahaan non-migas juga mendapatkan pesan tersebut.
“Ini email phishing acak sesuai basis data dari penyerang. Mengingat email random, maka tidak tahu apakah perusahaan lain juga sudah memblokirnya,” ujar Adi juga pendiri ICD Community, kepada Cyberthreat.id, Selasa (8 Februari 2022).
Dalam kasus yang ditemukan Adi, malware belum sempat menginfeksi jaringan perusahaan. Namun, penyerang mengirimkan email phishing ke perusahaan tersebut dua kali dengan alamat protokol internet (IP) acak, yang berasal dari Amerika Serikat dan India.
Dalam pengujian terhadap sampel file berbentuk Excel, tapi dengan extension .exe yang bisa diekseusi, Adi mengatakan, file mengandung Emotet. Cek di sini untuk melihat salah satu sampel file jahat di Virus Total.
Menurut Adi, jika Emotet telah menginfeksi komputer target, penyerang bisa membawa ransomware. Kencenderungan umum yang dibawanya ialah ransomware Conti.
Temuan lain juga dilakukan oleh peneliti keamanan dari ThreatLab, Afif Hidayatullah. Terdapat dua sampel email phishing yang ditelitinya.
Dalam salah satu sampel, email phishing tersebut berupa spamming. Email dikirim oleh karyawan perusahaan dan ditujukan kepada sesama karyawan.
Kepada Cyberthreat.id, seorang karyawan TI perusahaan yang menjadi target serangan mengatakan, bahwa email phishing itu terdeteksi sekitar November lalu. Jumlah email spamming mencapai ribuan.
Karena sifatnya spamming, tidak ada pesan spesifik yang dituliskan dalam email tersebut layaknya email phishing yang menyamar sebagai pegawai ESDM.
Afif menjelaskan temuan dua sampelnya di blog pribadinya pada Januari lalu.
“Malware Emotet menginfeksi umumya akan mencari celah seperti port-port yang terbuka baik itu SMB, Telnet, Ftp, Printer, dan bahkan beberapa IOC (Indicator of compromise),” ujar Afif.
“Kami menemukan adanya IOC dari Log4j yang dapat mereka gunakan untuk melakukan infeksi pada perangkat lain.” (Baca: Apache Rilis Log4j Versi 2.17.1, Perbaiki Kerentanan RCE)
Menurut Afif, Emotet memiliki banyak kemampuan, seperti elakukan remote access, menjatuhkan malware lain, seperti ransomeware, mengumpulkan kontak email pada perangkat dan email gateway untuk proses spear phising dan spamming pada perangkat lain, serta pencurian informasi.
Pencegahan
Untuk mencegah terkena Emotet, Adi mewanti-wanti agar lebih hati-hati ketika menerima email masuk yang mencurigakan.
“Emotet mengandalkan email phishing yang menyerupai email asli dengan lampiran,” katanya.
“Selalu waspada dengan sumber pengirim, serta jangan selalui buka lampiran,” katanya.
Jika terpaksa telah mengunduh lampiran, pindai terlebih dulu lampiran dengan antivirus yang diperbarui.
Sementara, Afif memberikan saran hampir serupa, tapi dengan beberapa penajaman lebih teknis.
“Pastikan melalukan blokir pada domain dan IP yang terindikasi sebagai IOC berserta server C2 penyerang,” ujarnya.
Selain itu, organisasi perlu memiliki endpoint detection and respons (EDR) sebagai bentuk pencegahan.
Selanjutnya, memastikan server “mail gateway” melakukan filter spam/phishing pada “sender mail” yang tidak memiliki “dmarc”.
Khusus yang menyangkut kerentanan Log4j, Afif menyarankan agar perusahaan segera mendapatkan pembaruan terakhir dari perangkat lunak tersebut.[]
Share:
