Cyberthreat.id - Operator ransomware Ryuk dikenal karena serangannya yang terencana dan disesuaikan berdasarkan targetnya. Menurut pakar keamanan siber dari Advanced Intel, Vitali Kremez, trojan TrickBot (yang menyebarkan Ryuk) tidak terlihat sejak Juli 2020. Sebaliknya, operator yang terhubung dengan TrickBot sekarang terlihat menyebarkan ransomware Conti.

Grup ransomware Conti diketahui telah beralih ke taktik “pemerasan ganda” (double extortion), yaitu mengungkapkan situs kebocoran data sebagai bagian dari strategi pemerasan untuk memaksa korban membayar uang tebusan atau menghadapi penghinaan publik (dipermalukan).

Operator ransomware biasanya menargetkan entitas besar dengan permintaan tebusan yang tinggi. Di bulan Februari 2020, misalnya, City Of Cartersville membayar US$ 380.000 kepada para penjahat cyber.

Sejak awal 2020, entitas yang paling ditargetkan berada di Amerika Serikat (AS) dengan sektor yang paling ditargetkan adalah pemerintah (Balai Kota Port Lavaca, Kantor Polisi Durham) dan sektor manufaktur (EMCOR, EVRAZ, Electronic Warfare Associates). Pola serangan menunjukkan para penyerang lebih tertarik pada sektor pemerintah dan organisasi terkait militer.

Sektor sasaran lainnya berkisar dari pendidikan (Gadsden Independent School District, Havre Public Schools Board of Trustees), teknologi informasi (Finastra), hingga sektor hukum (Mississippi Center for Legal Services).

Modus operandi

Penjahat cyber menggunakan email phishing, tautan berbahaya, dan situs web untuk menginfeksi staf/karyawan entitas yang ditargetkan dengan TrickBot dan Emotet. Setelah terinfeksi, bot ini mulai menyebar secara lateral di dalam jaringan hingga akhirnya menyebarkan ransomware.

Skema enkripsi yang digunakan oleh Ryuk dibangun untuk operasi skala kecil, yang secara khusus menargetkan aset dan sumber daya penting. Pola itu menunjukkan bahwa sang operator menggunakannya untuk serangan yang disesuaikan secara ekstensif.

Biasanya para penjahat cyber ini menggunakan modul dari perangkat lunak emulasi ancaman Cobalt Strike, skrip DACheck, dan alat PsExec.

Dalam sebuah insiden, ransomware disebarkan setelah infeksi trojan Trickbot, rata-rata waktu yang dibutuhkan setelah dua pekan.

Jejak Operator Conti/Ryuk

Pertama kali muncul pada Agustus 2018, ransomware canggih ini diyakini diciptakan oleh "Penyihir Laba-laba" (Wizard Spider), sebuah kelompok penjahat cyber yang berbasis di Rusia.

Ryuk memiliki kemiripan dengan ransomware Hermes, yang digunakan oleh Lazarus Group Korea Utara saat menyerang Taiwanese Far Eastern International Bank (FEIB) pada Oktober 2017.

Para ahli percaya bahwa kelompok hacker asal Rusia tersebut membeli kode sumber (source code) Hermes dari Dark Web kemudian memodifikasinya dengan versi baru yang disebut "Ryuk".

Operator ransomware memang secara khusus menargetkan perusahaan/organisasi yang mampu membayar tebusan lebih tinggi.

Untuk mengurangi risiko ancaman dan insiden, perusahaan/organisasi harus memberikan pelatihan kepada karyawan guna mengidentifikasi email phishing yang mengandung malware, menambal sistem yang rentan, menonaktifkan makro, mengakses segmen ke file, secara teratur membuat data cadangan, serta menggunakan solusi anti-malware yang andal. []