Cyberthreat.id - Ransomware Ryuk sudah mulai aktif menginfeksi sejak 2018 dan paling aktif pada 2019, dengan menargetkan perusahaan asal Amerika Serikat dan juga Jerman. Bahkan baru-baru ini, Ryuk menyerang sistem pemerintahan di Adelaide, Australia. Indonesia juga bisa menjadi salah satu sasaran. 

Untuk mengenal lebih jauh seluk beluk ransomware Ryuk, Cyberthreat.id mewawancarai Rahmat Nurfauzi, konsultan keamanan siber di Xynexis yang menganalisis seluk beluk Ryuk sejak Januari 2019 lalu. Rahmat juga pernah menjadi Security Researcher di Synack Red Team, sebuah perusahaan keamanan siber berbasis di Amerika Serikat. Berikut kutipannya.

Apa itu ransomware Ryuk?
Ryuk merupakan ransomware paling aktif pada tahun 2019 yang menargetkan banyak organisasi perusahaan besar dan telah memakan banyak korban, terutama di negara Amerika dan Jerman dengan meminta tebusan antara 15 sampai 50 bitcoin. 

Ransomware Ryuk dioperasikan oleh kriminal group dari Rusia bernama Wizard Spider yang aktif sejak Agustus 2018 dan mengembangkan trojan banking yang bernama Emotet dan Trickbot. Kedua trojan ini berperan penting untuk melakukan infeksi awal penyebaran ransomware Ryuk.

Jadi, Ryuk Ransomware ini berasal dari Rusia? Apakah ada kaitannya dengan Lazarus Group asal Korea Utara?
Atribusi awal mengenai ransomware Ryuk ada kemiripan source code dengan Hermes Ransomware yang dipakai oleh Lazarus Group sejak tahun 2009, tetapi setelah ditelusuri kembali, ditemukan fakta bahwa source code Hermes dijual pada dark web forum exploit[.]in dan dikaitkan dengan kriminal group dari Rusia bernama Grim Spider. Dari source code Hermes tersebut threat actor memodifikasi source code tersebut untuk membuat Ryuk ransomware.

Grim Spider diduga memiliki hubungan dengan group Wizard Spider, kelompok berbasis di Rusia yang menyebarkan Trickbot trojan dan trojan perbankan lainnya.

Benarkah Ryuk akan menjadi salah satu ancaman berbahaya di tahun 2020?
Benar, Ryuk merupakan salah satu ancaman besar pada tahun 2020 dan akan terus aktif melakukan penyebaran ransomware. Terlihat sejak bulan Desember 2019 Ryuk masih terus aktif melakukan penyebaran hingga saat ini. Salah satu korban Ryuk yang terbaru terjadi pada United States Coast Guard yang mengakibatkan matinya sistem pemantauan kontrol kargo dan gangguan seluruh jaringan selama lebih dari 30 jam.

Seperti apa cara kerja serangannya?
Penyerang mengirim malicious document dalam hal ini word macro yang telah disisipi powershell malware kepada korban melalui spear phishing. Untuk infeksi awal melalui trojan banking yang bernama Emotet dikuti dengan Trickbot, kedua trojan ini berperan penting untuk melakukan infeksi awal penyebaran Ryuk.

Emotet digunakan sebagai dropper untuk memfasilitasi penyebaran trojan lainnya dan melakukan instalasi backdoor. Emotet dapat mematikan antivirus dan melewati deteksi antivirus. Setelah terinfeksi, selanjutnya akan mendownload trickbot trojan yang digunakan untuk mencuri data dan terhubung ke Command & Control (C2) Post-Exploitation tools PowerShell Empire.

PowerShell Empire merupakan C2 framework post-exploitation tools yang sangat populer pada komunitas offensive yang digunakan untuk melakukan red team assessment. Setelah penyerang terhubung melalui PowerShell Empire, penyerang melakukan internal reconnaissance untuk memberikan pemahaman mengenai jaringan internal dan menentukan target yang memiliki data penting atau kritikal pada organisasi tersebut untuk dijadikan sasaran penyebaran Ryuk.

Ryuk ransomware akan menghapus seluruh backup pada shadow copies untuk lebih lanjut menyebabkan gangguan dan menghambat upaya pada saat memulihkan data tanpa membayar uang tebusan. Untuk enkripsi, Ryuk menggunakan RSA dan AES enkripsi dengan 3 kunci algoritma. Terakhir Ryuk akan membuat catatan tebusan "RyukReadMe.txt" yang diletakan pada setiap folder di sistem.

Setelah Ryuk menginfeksi perangkat korban, apakah semua data langsung terenkripsi, hingga menyebabkan matinya sebuah sistem?
Setelah terinfeksi semua data belum langsung terenkripsi, untuk penyebaran Ryuk memiliki jeda waktu setelah trickbot trojan dijalankan. Belum tentu menjadi korban ransomware setelah infeksi trojan emotet dan trickbot karena semua kendali penyebaran ransomware ada di penyerang langsung. Jika terjadi serangan Ryuk ransomware, tim internal IT harus menghapus juga trojan Trickbot dan Emotet pada sistem korban. Setelah penyerang mendapatkan target server atau workstation yang kritikal kemudian akan melakukan penyebaran Ryuk dan melakukan enkripsi pada data penting.

Apakah ada kemungkinan Indonesia diserang ransomware Ryuk?
Belum ada data yang melaporkan Indonesia menjadi korban dari serangan Ryuk ransomware. Tetapi menurut laporan threat intelligence Palo Alto Unit42 menyebutkan banyak server yang telah kompromi berlokasi di Indonesia dan dijadikan server untuk penyebaran Emotet trojan, yang menjadi indikasi awal penyebaran ryuk ransomware. Meski demikian, benar, ada kemungkinan indonesia menjadi korban serangan Ryuk.

Apa yang bisa dilakukan sebagai langkah antisipasi dan mitigasi terkait serangan ini?
Hal terpenting untuk mencegah serangan ryuk ransomware adalah melakukan pelatihan kesadaran keamanan informasi, selalu perhatikan email yang berasal dari luar organisasi, jangan membuka tautan link yang mencurigakan dan dokumen yang dikirmkan pastikan pengirim berasal dari organisasi yang terpercaya. 

Kemudian, selalu lakukan backup data secara rutin dan simpan backup data di tempat terpisah dari komputer utama. Selalu update antivirus dan malware protection secara berkala ini akan membantu mengurangi infeksi awal. Disable penggunaan macro pada microsoft word. Menerapkan application whitelisting dan memblokir pengunaan powershell. Mengaktifkan powershell logging untuk membantu deteksi awal serangan.[]