Chicago, Cyberthreat.id- Trustwawe, perusahaan kemanan informasi yang berbasis di Chicago, Amerika Serikat (AS) menemukan kampanye spam pembaruan Windows palsu melalui ransomware Cyborg.

Mekanisme spam ransomware cyborg ini melalui proses pengiriman surat, yang mengklaim berasal dari Microsoft. Sehingga, mengarahkan calon korban ke lampiran yang digambarkan sebagai pembaruan kritis terbaru.

"Lampiran  pembaruan ini palsu. Walaupun memiliki ekstensi file jpg. Ini adalah file yang dapat dieksekusi. Nama filenya acak dan ukuran file-nya sekitar 28 KB. File yang dapat dieksekusi ini berbahaya. Pasalnya, pengirim file mengarahkan pengunduh ke sistem yang terinfeksi,” tulis Trustwave, seperti dikutip dari SecurityWeek, Selasa, (20 November 2019).

Trustwave menjelaskan, jika file terlampir diklik, ia mengunduh muatan utama dari Github. File tersebut dinamai bitcoingenerator.exe yang terkandung di bawah repositori btcgenerator-nya.

“Itu ironis, karena file tersebut sebenarnya adalah ransomware cyborg, dan satu-satunya bitcoin yang dihasilkan adalah bitcoin yang dibayarkan oleh korban sebagai tebusan,” ungkap Trustwave.

Dalam contoh surat tebusan yang ditunjukkan oleh Trustwave, permintaan tebusan tersebut adalah sebesar US$ 500 dalam bentuk bitcoin. Nama asli untuk bitcoingenerator.exe adalah syborg1finf.exe.

Cyborg (nama ini disediakan dalam catatan tebusan malware, yang menyatakan (SEMUA FILM ANDA DIENKRIPSI OLEH CYBOG RANSOMWARE) yang sebenarnya bukan ransomware yang terkenal.

Untuk mendapatkan lebih banyak pengetahuan, Trustwave mencari VirusTotal nama file asli, syborg1finf.exe, dan menemukan tiga sampel lain dari cyborg. Ekstensi file yang diterapkan ke file terenkripsi berbeda antara sampel yang ditemukan di VirusTotal dan sampel yang ditemukan oleh Trustwave.

"Ini merupakan indikasi bahwa ada pembangun untuk ransomware ini," kata Trustwave.

"Kami mencari di web dan menemukan video Youtube tentang Cyborg Builder Ransomware V1.0. Berisi tautan ke pembangun ransomware cyborg yang di-hosting di Github,” jelas Trustwave.

Trustwave menggunakan pembuat ini untuk membuat sampel ransomware baru, dan menemukannya sangat mirip dengan versi yang ditemukan dalam kampanye spam. "Hanya hamparan berbeda karena berisi data yang dimasukkan oleh pengguna pembuat. Ini mungkin menunjukkan bahwa pembangun telah digunakan oleh banyak individu,” jelas Trustwave.

Pihak Trustwave menambahkan, ransomware cyborg tampaknya relatif baru, dengan hanya tiga sampel yang ditemukan di VirusTotal.

Berdasarkan pencarian di Google, memberikan sedikit informasi di dalamnya, dan tidak ada decryptor di situs web NoMoreRansom.

"Cyborg Ransomware dapat dibuat dan disebarkan oleh siapa saja yang mendapatkan pembangun. Itu dapat dip spam menggunakan tema lain dan dilampirkan dalam berbagai bentuk untuk menghindari gateway email. Penyerang dapat membuat ransomware ini menggunakan ekstensi file ransomware yang dikenal untuk menyesatkan pengguna yang terinfeksi dari identitas ransomware ini,” ungkap Trustwave.