Cyberthreat.id - Ryuk merupakan salah satu bagian dari keluarga Ransomware yang bekerja pada sistem operasi Microsoft Windows yang penyebarannya menggunakan dokumen berbahaya yang dilampirkan dalam email.

Lalu berapa lama waktu yang dibutuhkan dalam serangan Ryuk dari awal hingga akhir?

Dikutip dari Security Week , menurut laporan DFIR, sebuah proyek yang memberikan analisis ancaman dari serangan nyata yang diamati oleh honeypots-nya, Ryuk membutuhkan waktu selama 29 jam dari email awal yang dikirimkan kepada pengguna hingga terjadinya peretasan dan mengenkripsi sistem.

Ryuk pertama kali dirinci pada 2018 lalu, dan diyakini sebagai karya peretas Korea Utara karena kemiripannya dengan ransomware Hermes. Namun, pada akhirnya dikaitkan dengan penjahat dunia maya Rusia.

Laporan itu menyebutkan, para peneliti mengamati semua serangan dimulai dengan email berbahaya yang berisi tautan untuk mengunduh muatan Bazar/Kegtap, yang menyuntikkan loader ke dalam beberapa proses, dan yang melakukan pengintaian pada sistem yang terinfeksi, menggunakan utilitas Windows seperti nltest dan net group, serta alat pihak ketiga AdFind.

"Malware akan  tetap diam selama kira-kira satu hari, setelah itu fase pengintaian kedua diluncurkan, menggunakan alat yang sama dan ditambahkan dengan Rubeus. Setelah itu data akan dipindahkan ke server jarak jauh dan penyerang mulai melakukan gerakan lateral," ungkap para peneliti.

Untuk membahayakan sistem tambahan yang ada di jaringan, penyerang menggunakan berbagai metode, termasuk WMI jarak jauh, eksekusi layanan jarak jauh dengan PowerShell, dan Cobalt Strike yang dijatuhkan di SMB. Selanjutnya, Serangan Cobalt digunakan sebagai titik penting utama.

Beacon tambahan dibuat di seluruh sistem yang terinfeksi dan PowerShell digunakan untuk menonaktifkan Windows Defender. Kemudian, Ryuk dieksekusi satu menit setelah ditransfer melalui SMB dari pivot dan, setelah enkripsi dimulai, server yang digunakan sebagai cadangan penyimpanan akan dilumpuhkan terlebih dahulu.

Selanjutnya, Ryuk akan ditransfer ke host yang tersisa di jaringan melalui SMB, dan koneksi RDP dimanfaatkan untuk mengeksekusinya dari pengontrol domain pivot.

"Secara total, kampanye berlangsung selama 29 jam dari eksekusi awal Bazar, hingga ransomware menginfeksi seluruh domain. Jika korban melewatkan hari pertama pengintaian, mereka akan memiliki lebih dari 3 jam untuk merespon sebelum ditebus."

Setelah sistem dienkripsi, para penyerang meminta sekitar 600 Bitcoin sekitar US$ 6 juta sebagai tebusan. Namun, pelaku ancaman bersedia bernegosiasi.[]