Cyberthreat.id – “WastedLocker” menjadi salah satu ransomware canggih paling berbahaya pada 2020. Salah satu korbannya adalah produsen jam tangan pintar dan teknologi, Garmin, beberapa waktu lalu. (Baca: Sky News: Garmin Diduga Bayar Tebusan Hacker Ransomware Dibantu Arete IR)

Di situs webnya, diakses Kamis (29 Oktober 2020), Malwarebytes, perusahaan keamanan siber AS, menduga operator di balikWastedLocker ialah kelompok peretas berjuluk Evil Corp. Kelompok yang sama mengoperasikan trojan “Dridex” dan ransomware “BitPaymer”.

WastedLocker dinilai sangat canggih karena memiliki kemampuan menghindari alat anti-ransomware dan perangkat lunak antivirus lainnya. Secara historis, geng Evil Corp menargetkan sebagian besar organisasi AS dan sebagian  Eropa.

Biasanya, Evil Corp menargetkan organisasi yang sangat spesifik. Setelah mengenkripsi dokumen, seperti halnya operator ransomware lain, mereka juga meminta uang tebusan dalam Bitcoin.

Untuk setiap file terenkripsi, peretas membuat file terpisah yang berisi catatan ransomware. Catatan tebusan memiliki nama yang sama dengan file terkait dengan tambahan “_info”.

Dalam catatan Malwarebytes, nilai tebusan geng Evil Corp antara US$ 500.000 hingga US$ 10 juta dalam bentuk Bitcoin.

Pandai menghindari antivirus

Sementara itu, Sophos, perusahaan keamanan siber, di situs webnya Agustus 2020, mengatakan, WastedLocker pandai menghindari deteksi antivirus di perangkat.

Menurut Sophos, tampaknya peretas sengaja melakukan itu lantaran akan jauh lebih mudah untuk mengubah tampilan ransomware atau mengaburkan kodenya daripada mengubah tujuan atau perilaku yang mendasarinya.

Pembuat WastedLocker membuat manuver untuk membingungkan dan menghindari anti-ransomware berbasis perilaku.

Mereka sangat menyadari kontrol keamanan jaringan atau endpoint dapat menimbulkan ancaman fatal bagi operasinya. Maka, mereka membangun logika yang kompleks untuk mendeteksi dan menumbangkan kontrol tersebut.

“Ransomware modern menghabiskan banyak waktu untuk mencoba menggagalkan kontrol keamanan,” tulis Sophos. Ini dilakukan agar ransomware dapat memiliki keterampilan bertahan hidup sehingga cukup lama untuk mengenkripsi file korban.

Banyak keluarga malware menggunakan teknik code obfuscation, seperti pengemas runtime, yang digunakan  sebagai cara untuk menggagalkan anti-malware. WastedLocker tampaknya telah mengadopsi teknik ini dan menambahkan lapisan tambahan dengan melakukan semuanya dalam memory, di mana lebih sulit bagi deteksi perilaku untuk menangkapnya, tulis Sophos.

Bagaimana yang harus dilakukan organisasi?

Menurut Sophos, hanya dengan menggunakan prosedur keamanan sederhana tidak akan dapat melindungi diri dari WastedLocker dan serangan ransomware lainnya.

Sophos menyarankan agar tidak menggunakan kata sandi default untuk login situs web. Lalu, menggunakan otentikasi multi-faktor (MFA) untuk memberikan penghalang tambahan bagi peretas yang mencoba mendapatkan kendali atas akun dan sistem elektronik.

Selain itu, rutin memperbaiki perangkat lunak atau firmware agar tidak ada kerentanan yang menjadi pijakan masuk oleh peretas. Penting juga diterapkan, karyawan jangan asal klik tautan yang diterimanya dari email. Sebab, tautan berbahaya bisa menjadi awal serangan ransomware atau malware lainnya.[]

Redaktur: Andi Nugroho