Cyberthreat.id – Sebuah ransomware baru berjuluk “5ss5c” terdeteksi muncul di publik dan tampaknya masih dalam pengembangan aktif.

Perangkat lunak berbahaya (malware) tersebut ditemukan oleh peneliti independen Bart Balze. Menurut dia, ransomware tersebut diduga penerus dari ransomware “Satan” dan penulis skripnya masih bereksperimen dengan penargetan terfokus (saat ini masih China) dan sejumlah fitur.

Seperti diberitakan ThreatPost, yang diakses Senin (20 Januari 2020), peneliti mengatakan, antara “5ss5c” dan “Satan” memiliki banyak karakteristik kode.

“Satan” menghilang beberapa bulan yang lalu sejak memasukkan EternalBlue ke dalam langkah serangan. Sementara, “5ss5c” tampaknya mengambil tempat “Satan” yang ditinggalkan.

"Grup ini telah mengerjakan ransomware baru ‘5ss5c’ sejak November 2019. Ada beberapa [kesamaan] karakteristik dengan ransomware ‘Satan’  [taktik, teknik, dan prosedur bersama/TTP]. Salah satunya, misalnya, penggunaan beberapa pengepak (packers) untuk melindungi dropper dan muatannya," kata Blaze.

Menurut dia, “5ss5c” adalah malware tahap kedua yang diunduh oleh dropper, seperti halnya “Satan”. Dropper yang sama itu juga mengunduh exploit EternalBlue (misalnya, paket spreader). Selanjutnya, paket Mimikatz yang bisa mencuri kata sandi Windows. Ransomware in juga mampu membuat log, untuk mencatat apakah target exploit EternalBlue tersedia dan apakah unduhannya berhasil atau tidak.

Namun, “5ss5c” memiliki pendekatan baru dibandingkan “Satan”. Pertama, dropper menyediakan kredensial hardcoded untuk server perintah-dan-kontrol (C2) untuk ransomware yang digunakan untuk terhubung ke database SQL dengan perintah xp_cmdshell.

Kedua, operator menggunakan tiga paket berbeda untuk mengaburkan kode seperti, MPRESS, Enigma dan Enigma VirtualBox. Yang terakhir, mengemas modul spreader tambahan, bernama poc.exe—nama yang bisa berarti "bukti konsep". Ini yang menurut Blaze, penulis ransomwarenya masih bereksperimen.

Ada pula peningkatan tambahan dalam hal yang dienkripsi oleh ransomware. Seperti “Satan”, ransomware “5ss5c” memiliki daftar pengecualian dari beberapa jenis file dan folder yang akan tetap tidak terenkripsi selama infeksi, termasuk folder milik perusahaan keamanan Qihoo 360 yang berbasis di China.

Namun, “5ss5c” memiliki daftar baru yang ditargetkan, termasuk file. dengan ekstensi berikut: 7z, bak, cer, csv, db, dbf, dmp, docx, eps, ldf, mdb, mdf, myd, myi, ora, pdf, pem, pfx, ppt, pptx, psd, rar, rtf , sql, tar, txt, vdi, vmdk, vmx, xls, xlsx, zip.

“5ss5c” juga memiliki permintaan tebusan yang berbeda. Mereka membuat catatan ransomware berbahasa Mandarin pada: C:\ drive called "_How to decrypt my file_.txt" yang berbunyi: “beberapa file telah dienkripsi”.

Jika pengguna ingin mengambil file yang dienkripsi, ia harus (1) mengirim Bitcoin ke dompet penyerang. Jika pembayaran tidak selesai dalam waktu 48 jam dari awal enkripsi, jumlah dekripsi akan berlipat ganda. (2) Pengguna dapat menghubungi peretas melalui email 5ss5c@mail.ru.

Blaze menyarankan untuk mencegah ransomware, pengguna disarankan selalu memperbarui tambalan, menggunakan antivirus dan firewall, dan yang terpenting, membuat cadangan file yang disimpan di lokasi yang terpisah, tersegmentasi dari jaringan.[]

Redaktur: Andi Nugroho