Cyberthreat.id – Pengembang prosesor kecerdasan buatan (AI) asal Israel belum lama ini diserang oleh kelompok ransomware Pay2Key.

Ransomware ini seringkali menargetkan perusahaan Israel. Check Point, perusahaan keamanan siber asal Israel, di situs webnya mengatakan, banyak mendapatkan berbagai informasi terkait Pay2Key justru dari Tim Insiden Respon Israel.

Berdasarkan forensik dan informasi itu, Check Point mengatakan bahwa secara eksklusif ransomware  itu memang dipakai untuk menyerang perusahaan-perusahaan Israel.

Dari uraian waktu, ransomware pertama kali dibuat pada 6 Juni 2020 dan mulai dikenal secara luas empat bulan kemudian, yakni Oktober 2020. Sampel pertama terdeteksi pada 26 Oktober dan sehari kemudian sampel itu muncul di alam liar.

Ransomware ini menargetkan Remote Desktop Protocol (RDP) yang biasa dipakai perusahaan untu menghubungkan perangkat-perangkat dari jarak jauh. Mesin di jaringan yang ditargetkan itu didefinisikan sebagai titik “proxy” dalam jaringan yang kemungkinan menggunakan program bernama ConnectPC.exe".

Operator Pay2Key berkomunikasi dengan jaringan dan server perintah dan kontrol (C&C) milik penyerang melalui “proxy” tersebut. Ini menunjukkan Pay2Key tidak sama seperti banyak jenis ransomware lain yang biasanya tidak melalui koneksi ke server C&C.

Dikutip dari SecurityBoulevard, diakses Senin (21 Desember 2020), pendekatan melalui C&C dibandingkan melalui alamat IP dari mesin yang terinfeksi tersebut memiliki keuntungan dan kerugian.

Keuntungannya, beberapa mesin berkomunikasi dengan mesin yang terinfeksi karena komunikasi internal akan diizinkan. Namun, alamat server C&C akan sulit dilacak oleh peneliti.

Komunikasi server C&C milik peretas dikunci memakai enkripsi RSA dan mengirim kunci publik ke server melalui Transmission Control Protocol (TCP). Kunci ini digunakan untuk mengatur komunikasi antara server dan mesin yang terinfeksi sehingga pesan dapat diterima dan ransomware dapat mengaktifkannya.

Sementara itu, setelah peretas menguasai sistem, peretas pun menggunakan psexec.exe untuk mengeksekusi "Cobalt.Client.exe" yaitu ransomware Pay2Key itu sendiri.

Pay2Key diyakini bernama Cobalt (tetapi berbeda dengan Cobalt Strike) berdasarkan sampel yang ada. Dinamakan Pay2Key lantaran nama ekstensi file yang dienkripsinya itu adalah .pay2key. Meski kode ini bisa saja diubah oleh penyerang di kemudian hari.

Identitas penyerang pun tidak diketahui, tetapi dari pengamatan peneliti terhadap file log-nya, peretas bukanlah penutur asli bahasa Inggris.

Karena ransomware ini usianya masih relatif muda, rantai infeksi yang tepat belum dipetakan sepenuhnya. Hanya, penyelidikan sejauh ini, menurut Check Point, penyerang mungkin telah memperoleh akses ke jaringan organisasi beberapa waktu sebelum serangan.

Peretas Pay2Key juga memiliki kemampuan bergerak cepat dalam menyebarkan ransomware dalam waktu satu jam ke seluruh jaringan.

Enkripsi

Peretas mengadopsi algoritma AES dan RSA untuk enkripsi mesin korban. Namun, beberapa standar lain juga diterapkannya untuk memperlihatkan adanya kekhususan.

Kekhasan dalam proses enkripsi yang dimaksud itu ialah penggunaan algoritma RC4 untuk beberapa proses enkripsi. RC4 memang lebih mudah diterapkan, tetapi penyandian lebih mudah disalahgunakan yang dapat menyebabkan proses enkripsi gagal.

Terlepas dari itu, setelah berhasil mengenkripsi, para korban yang terdampak menerima catatan tebusan yang relatif rendah yaitu antara 7 hingga 9 Bitcoin (antara US$ 110.000 hingga US$ 140.000) atau setara Rp 1,56 hingga Rp 1,98 miliar. Catatan tebusan disesuaikan dengan perusahaan yang ditargetkan dalam bentuk [ORGANIZATION]_MESSAGE.TXT.

Dalam catatan tebusannya yang diperlihatkan Check Point, peretas meminta korban membayar tepat waktu jika tidak maka tebusan yang diminta akan menjadi dobel atau berlipat ganda.

Ketika Pay2Key dianalisis awal-awal kemunculannya, peretas belum memperlihatkan taktik pemerasan ganda seperti yang dilakukan beberapa ransomware lain, yaitu mencuri data dan kemudian merilisnya jika korban tidak membayar tebusan.

Namun, tak lama kemudian Pay2Key mengikuti jejak para operator ransomware lain yakni mempublikasikan data curiannya di situs kebocoran data seperti dialami perusahaan Israel.

 Iran dituding di balik serangan

Meski belum diketahui peretas di balik Pay2Key, alamat dompet bitcoin yang dipakai untuk pembayaran terlacak milik pertukaran mata uang kripto Iran.

Pertukaran itu didirikan untuk menyediakan layanan pertukaran mata uang kripto yang aman bagi warga Iran. Untuk menggunakan layanan, pengguna harus memiliki nomor kontak dan nomor ID Iran yang valid, dan untuk secara aktif memperdagangkan mata uang kripto, bursa memerlukan salinan ID.

Kuat dugaan dari mekanisme pertukaran itu, peretas adalah berasal dari Iran, tetapi bisa saja aktor lain dengan identitas Iran.

Pada September 2020, perusahaan keamanan siber, Clear Sky, mengaitkan Pay2Key dengan grup APT Iran, MuddyWater, yang dikenal karena mengeksloitasi cacat ZeroLogon.

Peneliti mencatat bahwa penyerang berusaha menginstal PowGoop, peranti jahat untuk pembaruan Google yang telah digunakan sebagai pemuat ransomware Thanos. Penggunaan Thanos juga diyakini digunakan oleh beberapa grup APT Iran. Seluruh aksi tersebut diber sandi "Operasi QuickSAnd".

Laporan terbaru ClearSky pada Desember 2020 mengatakan bahwa grup peretasan yang didukung Iran yakni Fox Kitten juga dikaitkan dengan operasi ransomware Pay2Key yang mulai menargetkan organisasi dari Israel dan Brasil.

"Kami memperkirakan dengan keyakinan menengah hingga tinggi bahwa Pay2Key adalah operasi baru yang dilakukan oleh Fox Kitten, grup APT Iran yang memulai gelombang serangan baru pada November-Desember 2020, yang menargetkan puluhan perusahaan Israel," kata ClearSky, seperti dilansir dari BleepingComputer.

Fox Kitten diduga menggunakan serangan Pay2Key untuk mencuri informasi sensitif dari industri, asuransi, dan perusahaan logistik.

Sejauh ini belum ada indikasi bahwa Pay2Key disponsori negara-bangsa tertentu. Selain termotivasi untuk merusak dengan ransomware, penyerang juga termotivasi secara finansial.

Seperti diketahui belum ada alat pihak ketiga yang dapat mendekripsi file yang dienkripsi oleh Pay2Key, setidaknya untuk saat ini.

Peneliti keamanan siber juga sulit mengembangkan kunci enkripsi karena proses enkripsi yang kuat dilakukan penyerang Pay2KEy.

Untuk itu, satu-satunya cara untuk memulihkan file yang dienkripsi adalah dengan memulihkannya dari cadangan yang telah disiapkan sebelumnya.[]

Redaktur: Andi Nugroho