Cyberthreat.id - Aspek terpenting dari perangkat lunak anti-malware berbasis perilaku (behavior-based) adalah untuk mengidentifikasi dan mencegah operasi file yang berurutan (sequential) seperti dengan cepat membuka, mengedit, dan menutup file yang dibuka oleh aplikasi eksternal.

Baru-baru ini peneliti menemukan fakta cukup mengejutkan kala ransomware WastedLocker menggunakan teknik canggih untuk melewati alat (tools) anti-malware berbasis perilaku dengan memanfaatkan fitur manajemen memori Windows.

Secara umum, mekanisme WastedLocker adalah menyalahgunakan prosedur kerja internal memori cache Windows.

Awal Agustus 2020, peneliti keamanan Sophos menemukan WastedLocker menggunakan teknik khusus untuk mengaburkan kodenya dan melakukan tugas tertentu yang mencerminkan subrutin (subroutines). Subrutin adalah satu set instruksi yang dirancang untuk melakukan operasi yang sering digunakan dalam suatu program.

Selain itu, WastedLocker juga bisa memindahkan file ke memori cache Windows, melakukan enkripsi data, kemudian menuliskannya kembali ke lokasi memori asli. Inilah yang memberi kesan bahwa hanya proses sistem yang diizinkan saja yang mengedit file, sehingga menghindari kecurigaan terhadap solusi anti-malware berbasis perilaku.

BitPaymer dan WastedLocker

Peneliti mengidentifikasi ada kesamaan yang harus diperhatikan antara kode WastedLocker dan BitPaymer. Kesimpulannya, mungkin saja WastedLocker adalah keturunan atau evolusioner dari BitPaymer.

WastedLocker maupun BitPaymer menyalahgunakan teknik Alternate Data Stream (ADS) dan User Account Control (UAC) dengan cara yang sama. Selain itu, keduanya menggunakan fungsi penyelesaian API khusus dan metode enkripsi yang serupa.

Kedua malware ini menggunakan catatan tebusan khusus untuk setiap korbannya.

WastedLocker pertama kali diamati pada Juni 2020 dan langsung melancarkan berbagai operasi yang berhubungan dengan geng Evil Corp. Salah satu modusnya adalah email phishing yang menyelipkan dokumen Excel berbahaya. Kejahatan mereka selalu menuntut pembayaran jutaan USD.

Baru-baru ini WastedLocker menjadi pemberitaan heboh kala meluncurkan serangan terhadap perusahaan raksasa AS, termasuk lusinan situs berita AS, serangan ke jam tangan pintar, hingga serangan terhadap pembuat perangkat Garmin.

Dengan terjadinya peningkatan serangan WastedLocker yang kemampuan jahatnya terus berkembang, bisa dikatakan serangan ransomware ini akan terus bertumbuh dalam waktu dekat.

Vendor keamanan harus segera meluncurkan pembaruan kode penting kepada pengguna untuk menambal kerentanan yang teridentifikasi. Tindakan pencegahan sangat krusial karena jumlah serangan diprediksi akan semakin banyak. []