IND | ENG
Lima Geng Ransomware Menakutkan Dua Tahun Terakhir

Ilustrasi | Foto: hackercombat.com

Lima Geng Ransomware Menakutkan Dua Tahun Terakhir
Tenri Gobel Diposting : Senin, 24 Februari 2020 - 08:01 WIB

Cyberthreat.id – Ransomware, malware yang mengenkripsi/mengunci komputer dan jaringan korban dan berujung minta uang tebusan, menjadi momok dua tahun terakhir.

Setelah kegemparan ditimbulkan oleh NotPetya dan WannaCry masing-masing pada 2016 dan 2017, gerombolan ransomware kembali dengan sebaran lebih besar dan variatif pada 2019.

Mounir Hahad, Kepala Juniper Threat Labs—lembaga yang fokus pada keamanan digital di bawah payung perusahaan teknologi Juniper Networks—melihat dua pendorong besar di balik tren ransomware selama dua tahun terakhir.

Pertama, harga mata uang kripto (cryptocurrency). Banyak cryptojackers menggunakan komputer korban mereka untuk menambang mata uang kripto Monero.

Kedua, serangan fokus pada pelumpuhan peladen (server) yang menyimpan data penting. “Jika Anda mendapatkan laptop secara acak, organisasi mugkin tidak terlalu peduli. Tetapi, jika Anda sampai ke server yang berdampak pada bisnis sehari-hari, itu memiliki kekuatan yang jauh lebih besar,” kata Mounir.

Dalam tren ransomware ini, terdapat lima ransomware yang terburuk, seperti dilansir dari CIO East Africa, Sabtu (22 Februari 2020).

  • SamSam

SamSam muncul akhir 2015 dan serangannya meningkat setelah itu dengan korban: Departemen Transportasi Colorado, Pemkot Atlanta, dan berbagai fasilitas perawatan kesehatan.

SamSam tidak sembarangan dalam mencari kerentanan tertentu, beroperasi sebagai ransomware-as-a-service . Si operator dengan hati-hati menyelidiki target yang dipilih; mencari kelemahan Remote Desktop Protocol (RDP). Begitu berada di dalam sistem, penyerang mulai mengenkripsi file.

Sebagian besar SamSam menargetkan institusi di Amerika Serikat. Pada akhir 2018, Departemen Kehakiman AS mendakwa dua orang Iran yang dituding di balik serangan itu. Serangan itu mengakibatkan kerugian lebih dari US$ 30 juta.

  • Ryuk

Ryuk adalah varian ransomware yang meningkat pada 2018 dan 2019. Salah satu korban Ryuk, yaitu Perusahaan Air Minum Carolina Utara. Ryuk dengan fiturnya dapat menonaktifkan opsi Windows System Restore pada komputer yang terinfeksi, membuatnya semakin sulit untuk mengambil data yang dienkripsi tanpa membayar uang tebusan.

Sebagian peneliti menyakini bahwa sebagian besar kode sumber Ryuk berasal dari Hermes, produk dari Lazarus Group, penjahat siber yang diduga kuat (APT) terkait dengan Korea Utara. Namun, serangan Ryuk bukan berarti dijalankan oleh Korea Utara. Sementara, perusahaan perangkat lunak antivirus McAfee menduga kuat Ryuk dibuat berdasarkan kode yang dibeli dari pemasok berbahasa Rusia. Alasannya, sebagian ransomware tidak akan dioperasikan pada komputer yang bahasanya diatur dalam bahasa Rusia, Belarusia, atau Ukraina.

  • PureLocker

PureLocker adalah varian ransomware yang menjadi subjek makalah bersama oleh IBM dan Intezer pada November 2019. PureLocker beroperasi pada mesin Windows atau Linux.

Alih-alih mengambil root pada mesin melalui serangan phishing luas, PureLocker dikaitkan dengan more_eggs, malware backdoor yang terkait dengan beberapa geng penjahat siber yang terkenal.

PureLocker diunduh pada mesin yang telah dikompromikan. Kemudian, mulai melakukan sejumlah pemeriksaan pada mesin ketimbang mengenkripsi data.  Namun, IBM dan Intezer tidak mengungkapkan seberapa luas infeksi PureLocker. Mereka mengungkapkan bahwa sebagian besar terjadi pada server produksi enterprise.

Peneliti keamanan Intezer, Michael Kajiloti percaya bahwa PureLocker adalah ransomware sebagai tawaran layanan yang hanya tersedia untuk geng kriminal yang dapat membayar di muka.

  • Zeppelin

Zeppelin adalah keturunan evolusioner dari keluarga yang dikenal sebagai Vega atau VegasLocker. Ini jenis ransomware-as-a-service yang mendatangkan malapetaka di perusahaan-perusahaan akuntansi di Rusia dan Eropa Timur. Zeppelin mulai muncul pada November 2019.

Zeppelin menyerang sebagian besar industri perawatan kesehatan dan teknologi di Amerika Utara dan Eropa. Zeppelin memiliki beberapa trik teknis baru, terutama dalam hal konfigurasi, tetapi apa yang membuatnya menonjol dari keluarga Vega adalah sifatnya yang ditargetkan. Zeppelin dirancang khusus untuk tidak mengeksekusi di komputer yang berjalan di Rusia, Ukraina, Belarus, atau Kazakhstan. Zeppelin dapat digunakan dalam beberapa cara, termasuk sebagai EXE, DLL, atau loader PowerShell.

  • REvil/Sodinokibi

Sodinokibi juga dikenal sebagai REvil, pertama kali muncul pada April 2019. Seperti Zeppelin, Sodinokibi tampaknya merupakan keturunan dari keluarga malware yaitu GandCrab.

Sodinokibi memiliki kode yang mencegah eksekusi di Rusia dan beberapa negara yang berdekatan serta Suriah, sehingga menunjukkan bahwa dari mana asal ransomware ini.

Sodinokibi bertanggung jawab atas serangan 22 kota di Texas pada September 2019. Aksi Sodinokibi juga terjadi pada Malam Tahun Baru 2020, ketika menurunkan layanan pertukaran mata uang Inggris Travelex. Para penyerang menuntut tebusan US$ 6 juta, tapi hingga kini tidak jelas apakah Travelex menolak atau membayar tebusan tersebut.

Menurut Mounir Hahad, ransomware ini termasuk ancaman terburuk sepanjang 2019. “Kelompok ini telah mengambil pendekatan baru: tidak hanya minta uang tebusan, tetapi juga akan menerbitkan data rahasia itu di web atau menjualnya di forum bawah tanah,” ujar dia.[]

Redaktur: Andi Nugroho

#ransomware   #malware   #serangansiber   #cyberattack   #ryuk   #zeppelin   #samsam   #sodinokibi   #purelocker   #

Share:

BACA JUGA
Facebook Beri Cap Dikontrol Negara untuk Media Pemerintah China, Iran dan Rusia
Hana Kimura Bunuh Diri Akibat Cyber Bullying, Jepang Wacanakan Revisi UU
Hadapi New Normal, Pegawai Kominfo Bekerja Lebih Fleksibel
Situs Web Jurnal KPU RI Disusupi Hacker
BPKN Ingatkan Penanganan Pengguna Kartu Kredit yang Terdampak Covid-19