Cyberthreat.id - Tahun 2019 mencatatkan sejumlah serangan siber yang menimbulkan kerugian bagi masyarakat maupun pemerintahan. Tercatat sejumlah serangan Ransomware seperti Ryuk telah menghantam dan merugikan banyak organisasi non-pemerintah dan pemerintah.

Ransomware adalah semacam 'Perangkat Pemeras' yang merupakan jenis perangkat lunak perusak (Malware) yang dirancang untuk menghalangi akses kepada sistem komputer atau data dalam komputer itu.

Biasanya, setelah berhasil menghalangi aksesnya dan menginkripsi suatu file, penyerang memeras para korbannya dengan sejumlah uang (umumnya berbentuk Bitcoin) agar dapat membuka file yang di-enkripsi.

Ryuk adalah keluarga dari Ransomware dan menurut salah satu blog white hacker menyatakan "Ryuk berjalan pada Sistem Operasi Microsoft Windows". Penamaan 'Ransomware Ryuk' itu merujuk pada salah satu karakter manga/anime asal Jepang yaitu Death Note.

Analisis perusahaan riset keamanan siber, Checkpoint, menjelaskan Ryuk merupakan Ransomware yang digunakan dalam serangan yang ditargetkan dan direncanakan dengan baik terhadap beberapa organisasi di seluruh dunia.

Ryuk ini digunakan secara eksklusif untuk serangan khusus. Skema enkripsi sengaja dibuat untuk operasi skala kecil, sehingga hanya aset dan sumber daya penting yang diserang. Biasanya, Ransomware ini mengenkripsi file yang disimpan di komputer, server penyimpanan, dan pusat data lalu meminta sejumlah uang tebusan guna dapat membukanya.

Laporan penyedia solusi keamanan siber, Trend Micro akhir Desember 2019 mengungkapkan Ryuk ini dioperasikan oleh kelompok kriminal atau penjahat siber yang berbasis di Rusia, yaitu 'WIZARD SPIDER'. Grup tersebut menargetkan organisasi besar untuk pengembalian uang tebusan yang besar. Diketahui, sebelum bulan Desember 2019, Ryuk berhasil memeras bitcoin senilai $ 600.000 (Rp 8,3 miliar).

Pendistribusian Ryuk

Trend Micro Inc melakukan penelitian terhadap infeksi Ryuk dan percaya bahwa file dokumen berbahaya didistribusikan melalui email spam, ketika pengguna mengklik file berbahaya itu kode jahat langsung dijalankan untuk mengunduh Trickbot atau Emotet (semacam Trojan dengan kode TrojanSpy.Win32.TRICKBOT dan TrojanSpy.Win.32.EMOTET).

Setelah trojan tersebut ter-unduh, trojan itu langsung digunakan para penjahat untuk mencuri kredensial dan mengunduh ransomware Ryuk. Kemudian, Ryuk mengeksekusi file yang berhasil dicuri dan melakukan enkripsi sekaligus melampirkan sebuah catatan berisikan uang yang harus ditebus agar dapat membuka filenya.

Selain itu, CrowdStrike Falcon Intelligence (penyedia cybersecurity) menambahkan Ryuk itu tidak mengenkripsi file dari dalam ruang memori prosesnya sendiri, tetapi mereka menyuntikkan/menginjeksi kepada proses jarak jauh. Teknik tersebut kemudian disebut sebagai teknik penyerangan jarak jauh atau 'Remote Attack'.

Ryuk dalam penerapannya menggunakan kombinasi VirtualAlloc, WriteProcessMemory dan CreateRemoteThread untuk menyuntikkan kode jahat ke dalam proses jarak jauh.

VirtualAlloc adalah fungsi yang menyimpan atau menjalankan wilayah halaman dalam ruang alamat virtual dari proses panggilan. Sedangkan, WriteProcessMemory merupakan penulisan data ke area memori dalam proses yang ditentukan.

CreateRemoteThread ialah fungsi untuk membuat utas yang berjalan di ruang alamat virtual proses lain dan secara opsional menentukan atribut yang diperluas.

Kemampuan Ryuk

Ryuk pada dasarnya berkemampuan untuk melakukan pencurian informasi, enkripsi suatu file dan me-nonaktifkan kemampuan penggunaan pada sistem Windows yang dijalankan. Hal itu berakibat pada kehilangan file penting, dokumen, dan data lainnya karena dienkripsi oleh penjahat.

Juga berdampak pada kerugian finansial ketika pengguna diminta membayar uang untuk mendekripsi file yang terdampak. Sehingga, dampaknya pada sebuah organisasi sangat lah tinggi mengingat uang tebusan yang harus dibayarkan tidaklah sedikit.

Harap diperhatikan bahwa penjahat siber profesional menjual Ryuk kepada penjahat lain di pasar gelap sebagai alat bagi para pelaku ancaman untuk membangun Ransomware mereka sendiri. Itu tentunya membuat varian Ryuk semakin luas dan akan menimbilkun kekacauan.

Serangan ransomware Ryuk awalnya mendapatan ketenaran pada Desember 2018, ketika mengganggu operasi beberapa surat kabar utama di Amerika Serikat. Pembaruan dari FBI mengungkapkan bahwa lebih dari 100 organisasi di seluruh dunia telah dilanda serangan Ryuk sejak Agustus 2018.

Korbannya datang dari berbagai macam industri seperti perusahaan logistik dan teknologi serta kota kecil. Yang terbaru, serangan ini juga menyerang sektor pemerintah.

Contoh kasus penyerangan Ryuk yang mendapat perhatian luas:

- 27 Desember 2018, ransomware Ryuk menghantam organisasi penerbitan yaitu Tribune Publishing (menaungi media berita New York Daily News, Virginia's Daily Press, Chichago Tribune dan lainnya). Serangan itu melumpuhkan kemampuan mereka untuk mencetak surat kabar. Insiden tersebut ditemukan oleh salah satu editor yang tidak dapat mengirim halaman yang telah ditulis ke layanan percetakan.

- 9 Maret 2019, sebuah serangan ransomware yang kemudian diidentifikasi sebagai Ryuk telah menghantam sistem komputer di hampir semua Jackson County, Georgia. Namun, komunikasi radio dan telepon tetap berfungsi penuh, sehingga masyarakat di County itu masih bisa menelepon 911 (layanan panggilan darurat).

Insiden tersebut sampai-sampai membuat para pejabat Jackson County memutuskan untuk membayar $400.000 (Rp 5,5 miliar) agar dapat menjalankan sistem operasi dan men-dekripsi file yang terdampak akibat serangan Ryuk ini.

- Serangan Ryuk lainnya terjadi pada Sabtu 6 Juli 2019, menyerang La Porte County, Indiana, AS. Untuk memulihkan data pada sistem komputer yang terkena dampaknya, pemerintah sampai membayar $ 130.000 (Rp 1,8 miliar) agar dapat memulihkannya.

- 1 Oktober 2019, sebuah rumah sakit yang berbasis di Alabama, AS yaitu DCH Health System juga dihantam serangan Ryuk. Serangan ransomware mengenkripsi file elektronik di rumah sakit Tuscaloosa, Northport, dan Fayette. Akibatnya, para staf menggunakan sistem kertas manual untuk melacak data pasien.

Pengelola rumah sakit akhirnya membayar uang tebusan yang diminta oleh peretas agar sistem jaringan komputer yang dilumpuhkan segera dibuka kembali. Tetapi, tidak jelas berapa uang yang harus dibayarkan untuk mendekripsi filenya.

- 13 Desember 2019, Ryuk diduga berada dibalik serangan siber yang sangat parah ke New Orleans, Louisiana, AS. Berdasarkan file yang diunggah ke layanan pemindaian (scanning service) VirusTotal, serangan ransomware di New Orleans menunjukkan bukti Ryuk menimbulkan kerusakan dan kerugian di kota yang sudah mengumumkan keadaan darurat tersebut.

- Dalam sebuah pengumuman resmi dari US Coast Guard (USCG) pada 30 Desember 2019 menyatakan serangan teridentifikasi sebagai Ryuk telah menyerang jaringan TI pada fasilitas maritimnya. Serangan tersebut mematikan seluruh jaringan TI selama lebih dari 30 jam.

Redaktur: Arif Rahman