Cyberthreat.id - Ransomware Ryuk diduga berada dibalik serangan siber ke New Orleans, Louisiana, Amerika Serikat (AS) pekan lalu. Berdasarkan file yang diunggah ke layanan pemindaian (scanning service) VirusTotal, serangan ransomware di New Orleans menunjukkan bukti-bukti Ryuk telah menimbulkan kerusakan dan kerugian di kota yang sudah mengumumkan keadaan darurat tersebut.

Pada Sabtu 14 Desember 2019, sehari setelah serangan Ransomware di New Orleans, apa yang tampak sebagai memory dump dari executable yang mencurigakan diunggah dari sebuah alamat IP di AS ke layanan pemindaian VirusTotal.

Salah satu memory dump ini, yang berisi banyak referensi ke New Orleans dan Ryuk, ditemukan oleh Colin Cowie dari Red Flare Security. Karena memory dump adalah snapshot dari memory yang digunakan oleh suatu aplikasi saat sedang berjalan, ia dapat digunakan untuk mengekstraksi string, nama file, perintah, dan informasi lain yang dapat dieksekusi atau dijalankan oleh executable.

Hal ini memungkinkan memory dump digunakan selama investigasi forensik serangan cyber untuk mempelajari lebih lanjut tentang bagaimana serangan itu dilakukan.

Memory dump yang ditemukan oleh Cowie adalah untuk executable bernama 'yoletby.exe' dan berisi banyak referensi serangan ke New Orleans. Termasuk nama domain, pengontrol domain, alamat IP internal, nama pengguna, berbagi file, dan referensi ke Ransomware Ryuk.

String Ryuk yang termasuk dalam dump adalah penanda file HERMES, nama file yang diakhiri dengan ekstensi .ryk, dan referensi untuk catatan tebusan yang dibuat RyukReadMe.html.

Setelah menyelidiki file lebih lanjut, ditemukan referensi yang menarik untuk dieksekusi C: \ Temp \ v2.exe yang dieksekusi pada mesin. Ternyata memory dump untuk file ini juga diunggah ke VirusTotal.

"Yang menarik dalam memory dump v2.exe adalah string yang merujuk ke Balai Kota New Orleans," tulis sebuah laporan dilansir Bleeping Computer, Senin (16 Desember 2019).

Setelah menggali lebih jauh, BleepingComputer menemukan executable v2.exe, dan setelah mengeksekusi, dapat dikonfirmasi bahwa itu adalah Ransomware Ryuk.

Emotet dan Trickbot

Jika New Orleans dienkripsi oleh Ryuk, ada kemungkinan infeksi Emotet dan TrickBot hadir di jaringan yang sama. Emotet adalah infeksi Malware yang umumnya menyebar melalui email spam yang berisi lampiran jahat. Saat dibuka dan makro diaktifkan, lampiran ini akan menginstal Trojan Emotet di komputer korban.

Emotet kemudian akan menggunakan komputer yang terinfeksi itu untuk melakukan spam ke komputer lain dengan lampiran berbahaya dan juga mengunduh Malware lebih lanjut di komputer.

Salah satu Malware yang paling umum dipasang oleh Emotet adalah Trojan yang mencuri informasi TrickBot. Ketika dijalankan, TrickBot akan terhubung kembali ke server perintah dan kontrol, di mana ia akan menerima perintah untuk memuat berbagai modul yang mencuri informasi dari komputer atau menginstal malware lebih lanjut.

Setelah aktor TrickBot mengumpulkan semua informasi dan data berharga dari komputer, ia akan membuka shell balik kembali ke aktor Ryuk. Dari sana, tim Ryuk akan melakukan pengintaian jaringan, mengumpulkan password admin, mengambil alih pengontrol domain, dan memanfaatkan toolkit pasca-eksploitasi seperti PowerShell Empire.

Inilah sebabnya kenapa semua admin jaringan perlu menyadari bahwa jika mereka telah dienkripsi oleh Ryuk, biasanya ada keberadaan Malware di jaringan mereka untuk sementara waktu dan ada kemungkinan data lain telah dicuri atau dikompromikan.