Lake City, Cyberthreat.id - Setelah minggu lalu Riviera Beach membayar uang tebusan ransomware, kini Lake City melakukan hal serupa. Kota yang juga berada di Florida, Amerika Serikat itu membayar $480.000  (Rp 6,8 miliar) dalam bentuk bitcoin, pada 25 Juni lalu. Sebagian sistem komputer di Lake City lumpuh akibat ransomware sejak 10 Juni. Email dan telepon tidak berfungsi dan kantor layanan masyarakat bekerja secara manual. Hanya kantor polisi dan pemadam kebakaran yang berfungsi normal karena beroperasi di server yang berbeda.

Sebelum memutuskan membayar tebusan, pemerintah kota Lake City berusaha memulihkan data dengan bantuan pihak ketiga. Namun masih sangat banyak file yang tidak bisa dipulihkan. Seminggu setelah serangan, Lake City menerima surat permintaan tebusan sebesar 42 bitcoin, kata Michael Lee, juru bicara kepolisian setempat kepada firtscoastnews.com.

Pemerintah kemudian memberikan surat tebusan itu kepada perusahaan asuransi Florida League of Cities yang kemudian membayarnya. Setelah tebusan diberikan, Lake City mendapatkan kunci dekripsi dari hacker. "Jika proses [dekripsi] ini berhasil, hal itu akan menyelamatkan kota ini dari sisi waktu dan uang," kata Joe Helfenberger, Lake City Manager, kepada firtscoastnews.com.

Triple Threat

Pejabat Lake City, di halaman Facebook-nya, menyebut Triple Threat sebagai nama ransomware yang menyerang kota itu. Nama ini tidak begitu dikenal karena memang bukan nama ransomware. Triple Threat adalah serangan kombinasi trojan Emotet, TrickBot, dan ransomware Ryuk. "Emotet sangat umum. Namun cara penyerang menggunakan Emotet untuk memasukkan malware lain, dan akhirnya menginjeksi ransomware untuk memaksimalkan kerusakan, benar-benar unik," kata Lior Rochberger, analis keamanan siber di Cybereason.

Emotet merupakan malware yang mencuri data finansial dengan target perbankan. Lahir pada 2014 dan berkembang sebagai trojan perbankan pada 2016. Umumnya menginfeksi komputer melalui website. Sementara TrickBot adalah malware terbaru di dunia perbankan, baru berusia 3 tahun.  Trickbot memiliki modul yang punya tugas-tugas tertentu, seperti memanen alamat email, mencuri data kredensial, mematikan antivirus, atau melakukan enkripsi. TrickBot lebih canggih dibandingkan Emotet sehingga dipandang sebagai ancaman besar di dunia perbankan mengalahkan reputasi Emotet.

Ujung tombak Triple Threat adalah Ryuk. Ransomware yang diberi nama dewa kematian dalam komik Jepang, Death Note, ini juga menyasar intitusi besar.  Sejak kelahirannya pada Agustus 2018, ransomware ini diperkirakan telah mendapat uang tebusan senilai $3,7 juta atau sekitar Rp 52 miliar lebih. 

Operasi Triple Threat biasanya dimulai dari phishing email. Korban lalu mengunduh dokumen Microsoft Office yang dilampirkan phishing email, bisa Excel atau Word, yang sudah disusupi kode macro. Kode ini akan mendownload Emotet dari server hacker. Emotet kemudian mengumpulkan informasi di komputer yang terinfeksi lalu mengunduh TrickBot. Modul-modul TrickBot diinjeksi dengan mengeksploitasi EternalBlue yang memanfaatkan celah keamanan protokol Server Message Block (SMB) di Windows. Trojan ini bertugas mencuri data rahasia, misalnya password administrator. TrickBot juga berusaha menghindari deteksi dengan mematikan atau menghapus Windows Defender dan program antimalware di komputer korban. 

Aktor hacker memonitor proses ini untuk mengetahui apakah korban merupakan perusahaan atau institusi besar atau tidak. Jika korban termasuk target, hacker akan menginjeksikan Ryuk. Ransomware ini kemudian mengenkripsi dan mengunci file dengan ekstensi .RYK dan memberi catatan ransomware bernama RyukReadMe.txt. Sejauh ini belum ada decryptor Ryuk yang beredar, seperti halnya decryptor Gandcrab atau Wannacry.