Cyberthreat.id - Perusahaan keamanan siber, Group-IB, mengungkap sekelompok hacker pemula (newbie) yang terafiliasi ke Iran beroperasi menargetkan perusahaan di berbagai negara dengan menggunakan ransomware. Operasi para hacker ini memanfaatkan kelemahan dari port protokol desktop jarak jauh atau Remote Desktop Protocol (RDP) untuk menyebarkan ransomware Dharma.

Awalnya penyerang memindai port RDP dengan kredensial yang lemah menggunakan perangkat lunak pemindaian yang disebut Masscan. Setelah host yang rentan teridentifikasi, penyerang melakukan brute force dengan aplikasi brute force RDP terkenal yakni NLBrute. Aplikasi ini sudah tersedia selama bertahun-tahun di forum-forum.

Dengan menggunakan alat (tools) tersebut, penyerang bisa memaksa masuk ke sistem untuk memeriksa validitas kredensial yang diperoleh pada host lain yang dapat diakses di jaringan.

Penyerang juga mengeksploitasi kerentanan yang diidentifikasi sebagai CVE-2017-0213, yang memengaruhi sistem Windows dan dapat dieksploitasi saat penyerang menjalankan aplikasi yang dibuat secara khusus. Menurut peneliti Group-IB, hacker pemula (newbie) yang terkait dengan Iran ini terlihat tidak jelas ingin melakukan kegiatan pasca-peretasan.

Ada dugaan mungkin karena kurang pengalaman atau sekaligus menunjukkan bahwa mereka belum menjadi hacker yang canggih.

"Yang menarik, para penyerang ini kemungkinan tidak memiliki rencana yang jelas tentang apa yang harus dilakukan dengan jaringan yang telah diretas," kata para peneliti Group-IB dalam analisisnya yang diposting di laman resmi Senin, (24 Agustus 2020), 

Hacker Kurang Canggih

Kurangnya kecanggihan hacker asal Iran ini, menurut peneliti, juga terlihat dari penggunaan alat yang tersedia umum untuk mendapatkan akses awal dan bergerak secara lateral, dibandingkan menggunakan malware khusus atau kerangka kerja pasca-eksploitasi (pasca-peretasan). 

"Pelaku menggunakan bahasa Persia untuk pencarian Google di server yang disusupi dan alat (tools) unduhan dari grup Telegram yang terhubung ke Iran," kata peneliti.

Bahkan, untuk memindai host yang dapat diakses di jaringan yang disusupi saja, hacker newbie ini menggunakan alat yang tersedia untuk umum seperti Advanced Port Scanner. 

"Misalnya, untuk menonaktifkan perangkat lunak antivirus bawaan, penyerang menggunakan Defender Control dan Your Uninstaller," jelas peneliti.

Setelah melakukan serangan menggunakan segala alat yang tersedia untuk umum ini, penyerang kemudian bergerak secara lateral melintasi jaringan dan menyebarkan ransomware, mengenkripsi data, dan meninggalkan catatan tebusan kepada korban. Menurut peneliti, hacker biasanya meminta tebusan antara 1 hingga 5 Bitcoin bernilai antara Rp175 juta - Rp863 juta. 

Sekilas tentang Dharma

Ransomware Dharma awalnya dikenal sebagai Crysis dan telah didistribusikan sebagai model ransomwara-as-a-service (RaaS) sejak 2016. Artinya, siapa saja bisa menggunakan ransomware ini untuk melakukan aksinya.

Tapi, sejak Maret 2020, kode sumber (source code) Dharma muncul secara publik sehingga membuat Malware ini tersedia untuk penyerang yang lebih luas. Karena sudah tersedia untuk umum, maka penyerang yang tidak canggih (seperti hacker newbie) dapat memanfaatkan Dharma ini dan "mengoperasikannya di beberapa negara seperti Rusia, Jepang, China, dan India sejak Juni," demikian menurut peneliti Group-IB.

"Fakta bahwa kode sumber Dharma telah tersedia secara luas menyebabkan peningkatan jumlah operator yang menyebarkannya,” kata Oleg Skulkin, spesialis forensik digital senior di Group-IB dilansir ThreatPost.

Tidak disebutkan berapa jumlah korban dalam operasi ini, tetapi artefak forensik dari serangan ini mengungkapkan bahwa hacker newbie Iran yang ini jauh tertinggal di belakang tingkat kecanggihan APT besar dari negara tersebut.

"Kelompok hacker yang baru ditemukan ini menunjukkan bahwa Iran - yang telah dikenal sebagai tempat lahir kelompok APT disponsori negara selama bertahun-tahun - sekarang juga menampung penjahat cyber yang bermotivasi finansial."

"Meskipun para hacker pemula ini menggunakan taktik, teknik, dan prosedur (TTP) yang cukup umum, mereka sebenarnya cukup efektif," jelas Skulkin. 

Pandemi virus Corona diyakini juga memberikan pengaruh terhadap operasi hacker ini. Perubahan model kerja sehingga karyawan bekerja dari jarak jauh membuat vektor serangan menjadi menyerang sejumlah host yang rentan.

Peneliti Group-IB menyarankan untuk mengubah atau menutup port default yang digunakan untuk koneksi RDP, di mana defaultnya mengarah ke port 3389.

"Karena penyerang biasanya membutuhkan beberapa upaya untuk melakukan brute force password dan mendapatkan akses ke RDP, maka sangat penting untuk mengaktifkan kebijakan penguncian akun dengan membatasi jumlah upaya login yang gagal dilakukan setiap pengguna." []

Redaktur: Arif Rahman