Cyberthreat.id – Pelaku ancaman yang berada di balik ransomware Venus menargetkan layanan Remote Desktop yang terekspose dengan tujuan untuk mengenkripsi perangkat Windows.

Venus Ransomware merupakan salah satu ransomware yang cenderung baru. Mereka diketahui telah mulai beroperasi pada pertengahan Agustus 2022 dan sejak itu telah mengenkripsi korban di seluruh dunia. Peneliti menemukan ada ransomware lain yang menggunakan ekstensi file terenkripsi yang sama sejak 2021, tetapi tidak jelas apakah mereka terkait.

Dikutip dari BleepingComputer, ransomware ini pertama kali diungkapkan oleh MalwareHunterTeam, yang dihubungi oleh analis keamanan linuxct untuk mencari informasi tentangnya. Linuxct mengatakan, berdasarkan pengamatan yang dilakukan, pelaku ancaman memperoleh akses ke jaringan perusahaan korban melalui protokol Windows Remote Desktop.

“Bahkan korban lain di forum BleepingComputer juga melaporkan RDP digunakan untuk akses awal ke jaringan mereka, bahkan saat menggunakan nomor port non-standar untuk layanan tersebut,” kata Linuxct.

Linuxct menjelaskan, saat dieksekusi, ransomware Venus akan mencoba menghentikan tiga puluh sembilan proses yang terkait dengan server basis data dan aplikasi Microsoft Office. Ransomware ini juga akan menghapus log peristiwa, Shadow Copy Volumes, dan menonaktifkan Pencegahan Eksekusi Data menggunakan perintah berikut:

Saat mengenkripsi file, ransomware akan menambahkan ekstensi .venus, seperti yang ditunjukkan di bawah ini. Misalnya, file bernama test.jpg akan dienkripsi dan diganti namanya menjadi test.jpg. Venus.

Di setiap file terenkripsi, ransomware akan menambahkan penanda file 'goodgamer' dan informasi lain di akhir file. Tidak jelas apa informasi tambahan ini saat ini. Ransomware akan membuat catatan tebusan HTA di folder %Temp% yang secara otomatis akan ditampilkan ketika ransomware selesai mengenkripsi perangkat.

“Aktor dibalik ransomware ini juga akan membagikan alamat TOX dan alamat email yang dapat digunakan untuk menghubungi penyerang untuk menegosiasikan pembayaran tebusan. Di akhir catatan tebusan yang disandikan base64, yang kemungkinan merupakan kunci dekripsi terenkripsi,” kata dia.

Sebagai informasi, saat ini, ransomware Venus cukup aktif, dengan kiriman baru yang diunggah ke ID Ransomware setiap hari. Karena ransomware tampaknya menargetkan layanan Desktop Jarak Jauh yang terbuka untuk umum, bahkan yang berjalan pada port TCP non-standar, sangat penting untuk menempatkan layanan ini di belakang firewall. Idealnya, tidak ada Layanan Desktop Jarak Jauh yang boleh diekspos secara publik di Internet dan hanya dapat diakses melalui VPN