Cyberthreat.id – Dua bulan terakhir, tim peneliti keamanan siber Microsoft mendeteksi aktivitas geng peretas (hacker) ransomware baru.

Tim peneliti menjulukinya PonyFinal. Ransomware ini berjalan dengan basis Java yang digunakan dalam serangan yang dioperasikan oleh manusia, bukan robot.

“Ransomware yang dioperasikan oleh manusia adalah sub kategori dari kategori serangan ransomware. Dalam serangan ini, peretas melanggar jaringan perusahaan, lalu peretas menyebarkan ransomware sendiri,” tulis Microsoft seperti dikutip ZDNet yang diakses Minggu (31 Mei 2020).

Ransomware adalah perangkat lunak jahat (malware) yang mengenkripsi sistem jaringan komputer korban dan biasanya operatornya meminta uang tebusan. Jika uang tebusan tidak dibayar, data yang terkunci akan dibocorkan di darkweb atau dihapus dari komputer.

Aktivitas PonyFinal sangat berbeda dengan serangan ransomware yang selama ini terjadi. Sebab, selama ini ransomware didistribusikan melalui email spam atau alat peretas (exploit kit). Jadi, proses infeksi ransomware cenderung bergantung pada kelalaian pengguna saat mengklik muatan malware.

PonyFinal adalah salah satu dari sekian jenis ransomware yang dioperasikan manusia. Termasuk dalam geng ini seperti RobbinHood, NetWalker, Maze, REvil (Sodinokibi), Paradise, RagnarLocker, MedusaLocker, dan LockBit.

---

Skema serangan PonyFinal | Foto: Microsoft

---

Titik intrusi PonyFinal yaitu akun pada server manajemen sistem perusahaan melalui serangan brute-force untuk menebak kata sandi yang lemah.

Begitu masuk, operator PonyFinal menyebarkan skrip Visual Basic yang menjalankan “PowerShell reverse shell” untuk mencuri data lokal. Selain itu, operator ransomware juga menggunakan "sistem manipulator jarak jauh untuk memotong event logging.” 

Dalam konteks jaringan, event log adalahsumber dasar yang membantu menyediakan informasi tentang trafik jaringan, pemakaian dan kondisi lainnya.

Setelah geng PonyFinal memahami jaringan target, mereka lalu menyebar lagi ke sistem lokal lainnya dan menggunakan ransomware PonyFinal yang sebenarnya.

“Penyerang menargetkan workstation, di mana Java Runtime Environment (JRE) diinstal, karena PonyFinal ditulis di program Java,” tulis ZDNet.

Microsoft mengatakan bahwa file yang dienkripsi dengan PonyFinal biasanya memiliki ekstensi file ".enc" yang ditambahkan di akhir setiap file yang dienkripsi.

Catatan tebusan biasanya bernama README_files.txt, dan biasanya berupa file teks sederhana yang berisi instruksi pembayaran tebusan.

Sejauh ini belum ada decrypter atau pembuka enkripsi gratis yang dapat memulihkan file yang terkunci oleh ransomware.

Menurut MalwareHunterTeam, portal identifikasi ransomware ID-Ransomware, PonyFinal pertama kali muncul awal tahun ini. Masih sedikit korban ransomware ini dan tampaknya PonyFinal digunakan untuk target yang dipilih secara khusus.

Gillespie, seorang peneliti malware di perusahaan keamanan siber Emsisoft, mengatakan korban PonyFinal sejauh ini terdeteksi di India, Iran, dan AS.[]