Ilustrasi | Foto: freepik.com
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Peneliti keamanan siber belum lama ini menemukan aksi geng peretas ransomware baru. Karakter serangannya belum pernah dilihat sebelumnya.
Peneliti menjuluki galur (strain) baru itu dengan nama Tycoon. Ransomware ini menargetkan khususnya industri perangkat lunak dan lembaga pendidikan.
Ditulis dalam program Java, sesuatu yang sangat jarang terjadi untuk sebuah malware, Tycoon dibangun sebagai Java Runtime Environment (JRE) yang bersifat trojan (mencuri kredensial). Malware ini lalu disembunyikan dalam file berbentuk gambar Java (Jimage).
“Ini metode yang unik. Java sangat jarang digunakan untuk menulis endpoint malware (malware di tingkat akhir pengguna) karena memerlukan JRE untuk dapat menjalankan kodenya. File gambar juga jarang digunakan untuk serangan malware,” kata Wakil Presiden Tim Riset dan Intelijen BlackBerry, Eric Milam, seperti dikutip dari ZDNet, yang diakses Selasa (9 Juni 2020).
Milam menuturkan, tampaknya peretas sedang beralih ke arah bahasa pemrograman yang tidak lazim. Meski mereka tidak mengaburkan kode ransomware, serangannya tetap berhasil sesuai tujuan mereka.
Menyerang Windows dan Linux
Penemuan Tycoon dimulai ketika tim Layanan Respons Siber Inggris milik KPMG, perusahaan konsultan Inggris, menerima laporan adanya serangan siber dari sebuah lembaga pendidikan.
KPMG lalu melibatkan Tim Riset dan Intelijen BlackBerry untuk menganalisis serangan. Tycoon, kata mereka, memang telah diamati di dunia maya sejak Desember 2019. Dalam aksinya, mereka cenderung menargetkan mesin Windows dan Linux.
“Jumlah korbannya masih terbatas," kata peneliti seperti ditulis Dark Reading, Jumat (6 Juni). Keterbatasan tersebut kemungkinan operator Tycoon hanya menyerang korban khusus dan sangat ditargetkan.
Via Remote Desktop Protocol
Menurut peneliti, tahap pertama serangan Tycoon mengintrusi ke sistem jaringan korban melalui server Remote Desktop Protocol (RDP) dalam bentuk arsip terkompresi .zip. Di dalam arsip ini berisi JRE. Malware lalu digabung menjadi file gambar Java (Jimage).
“Ini sampel pertama yang kami temui dan secara khusus menyalahgunakan format Java Jimage untuk membuat bangunan JRE khusus yang berbahaya," kata peneliti seperti dikutip dari ThreatPost.
Sementara itu, intrusi via RDP juga merupakan vektor serangan umum untuk serangan malware dan biasanya peretas sering mengeksploitasi server yang berkata sandi lemah atau karena sebelumnya telah diretas, tulis ZDNet.
Oleh karenanya, peneliti menyarankan, agar perusahaan/organisasi memastikan bahwa satu-satunya port RDP yang menghadap ke internet untuk diamankan. Akun yang mengakses port tersebut tidak memakai kredensial secara default juga kata sandi lemah.
Begitu berada dalam jaringan, mereka menggunakan injeksi Image File Execution Options (IFEO)—biasa dipakai pengembang untuk melakukan debugging perangkat lunak.
Selanjutnya, penyerang menggunakan hak istimewa administrator lokal untuk mematikan perangkat lunak antivirus/anti-malware dengan program “ProcessHacker”.
“Mereka juga membuat pintu belakang (backdoor) sehingga sewaktu-waktu bisa masuk kembali,” tulis Dark Reading.
Ciri ekstensi file
Ciri khas file-file yang dienkripsi Tycoon memiliki ekstensi file, seperti .thanos, .grinch, dan .redrum.
Setiap file dienkripsi dengan kunci AES yang berbeda, kemudian dienkripsi dengan kunci publik penyerang RSA-1024 bit. Mendekripsi file yang terkunci memerlukan kunci RSA pribadi penyerangi.
Meski secara teori membuka kunci RSA 1024-bit bisa, sebelumnya belum pernah ada yang melakukannya. Kalau pun mau melakukannya, butuhkan daya komputasi yang luar biasa.
Seperti diketahui, ransomware adalah perangkat lunak jahat yang dipakai peretas (hacker) untuk mengunci sistem jaringan komputer korban. File-file yang terkunci ransomware menunjukkan ekstensi file yang aneh.
Peretas biasanya menaruh pesan serangan yang berupa permintaan uang tebusan. Jika korban ingin terbebas dari serangan dan file-file bisa kembali diakses, peretas meminta korban mengirimkan uang tebusan dalam bentuk mata uang kripto seperti Bitcoin atau Ethereum.
Akhir-akhir ini, tren geng peretas ransomware selain mengunci file, mereka juga mencuri data, lalu “melemparkan” sebagian data ke forum peretas—ada sampel data yang dibagi gratis, ada pula berbayar—sebagai bentuk ancaman kepada korban untuk membayar.
Kaitan ransomware lain
Peneliti menduga Tycoon memiliki keterkaitan dengan operator ransomwar lain: Dharma atau dikenal dengan Crysis. Alasannya, mereka memiliki kesamaan alamat email, nama file yang dienkripsi, teks pesan tebusan.[]
Share: