Sunnyvale, Cyberthreat.id. Perusahaan keamanan siber Fortinet mengeluarkan laporan tentang adanya ancaman ransomware DeathRansom versi baru pada 2 Januari lalu. Ransomware ini memiliki skema enkripsi yang kuat dan didukung operasi distribusi yang solid. Malware ini membuat korban setiap hari secara rutin dalam dua bulan terakhir.

Versi baru ransomware ini ditemukan pada akhir November 2019. Sebelumnya, saat malware ini pertama kali ditemukan pada awal 2019, DeathRansom dianggap sebagai lelucon. Soalnya DeathRansom cuma meniru gaya ransomware namun tidak benar-benar mengunci file di komputer korban. DeathRansom hanya menambah ekstensi baru di file korban dan memuat surat tebusan yang meminta uang.

Itu ternyata cuma teknik untuk menipu korban agar membayar uang tebusan. Padahal file korban tidak benar-benar dienkripsi. Untuk memulihkan file-nya, korban hanya perlu menghapus ekstensi tambahan pada file.

Sekarang DeathRansom sudah bukan lelucon lagi. Kode malware ini sudah dimodifikasi sehingga benar-benar berfungsi sebagai ransomware. Malware ini disebarkan melalui email phishing. Fortinet menyatakan DeathRansom menggunakan kombinasi enkripsi yang kompleks untuk mengunci file korbannya. Sejauh ini belum ada dekriptor untuk memulihkan file yang menjadi korban.

Rangkaian metode enkripsi DeathRansom | Image: Fortinet

Selain meneliti kode DeathRansom, Fortinet juga mencari petunjuk tentang pembuat malware ini. Petunjuk yang didapat mengarahkan Fortinet kepada operasi kejahatan siber berskala luas beberapa tahun lalu. Operator DeathRansom diduga juga menyebarkan sejumlah malware pencuri password seperti Vidar, Azorult, Evrial, 1ms0rryStealer, dan malware penambang kripto: SupremeMiner. Selain itu, Fortinet menemukan nama alias "scat01" dan "SoftEgorka" serta email "vitasa01[@]yandex.ru", serta website "gameshack[.]ru" terkait dengan operasi DeathRansom.

Dengan menggunakan indikasi tersebut, ditambah riset di media sosial, Fortinet mengaitkan DeatRansom dengan pemuda Russia bernama Egor Nedugov, yang tinggal di Aksay kota kecil Russia dekat Rostov-on-Don.

Nedugov sempat dideteksi aktif di berbagai forum bawah tanah. Namun semua akunnya telah dinonaktifkan. Ternyata, Nedugov tidak sekadar berjualan di forum tersebut namun juga melakukan phishing dan scamming di forum koleganya.