Serangan Ransomware Terbaru Menentukan Era Baru Malware

Ransomware, sejenis malware yang menyimpan data untuk tebusan, telah ada selama bertahun-tahun. Pada tahun 1991, seorang ahli biologi menyebarkan PC Cyborg, ransomware pertama, dengan mengirimkan disket melalui surat permukaan ke peneliti AIDS lainnya, misalnya. Pada pertengahan 00-an Archiveus adalah ransomware pertama yang menggunakan enkripsi, meskipun sudah lama dikalahkan dan kamu dapat menemukan kata sandinya di halaman Wikipedia. Pada awal 2010-an, serangkaian paket ransomware "police" muncul, disebut demikian karena konon merupakan peringatan dari penegak hukum tentang kegiatan terlarang para korban dan menuntut pembayaran "denda", mereka mulai mengeksploitasi generasi baru dari layanan pembayaran anonim untuk pembayaran panen yang lebih baik tanpa tertangkap.

Pada 2010-an, tren ransomware baru muncul: penggunaan cryptocurrency sebagai metode pembayaran tebusan pilihan oleh penjahat cyber. Daya tarik kepada pemeras jelas, karena cryptocurrency dirancang khusus untuk menyediakan metode pembayaran anonim yang tidak bisa dilacak. Kebanyakan geng ransomware menuntut pembayaran dalam bitcoin, cryptocurrency paling terkenal, meskipun beberapa mulai mengalihkan tuntutan mereka ke mata uang lain karena popularitas bitcoin membuat nilainya lebih berfluktuasi.

Serangan melonjak di pertengahan tahun 2010 ke tingkat krisis. Tetapi pada tahun 2018, boom ransomware tampaknya akan keluar, mendukung cara ilegal lain untuk merebut bitcoin yang tidak mengharuskan korban untuk mencari tahu apa dompet bitcoin itu: cryptojacking. Cryptojackers mengikuti skrip yang telah digunakan spammer dan penyerang DDoS selama bertahun-tahun: secara diam-diam mendapatkan kendali atas komputer tanpa diketahui pemiliknya. Dalam kasus cryptojacking, mesin yang dikompromikan menjadi rig penambangan bitcoin, secara diam-diam menghasilkan cryptocurrency di latar belakang dan menghabiskan siklus komputasi yang menganggur sementara korban bukan orang yang lebih bijak. Serangan Ransomware menurun selama 2018, sementara serangan cryptojacking melonjak hingga 450 persen.

Serangan Ransomware hari ini

Namun, selama dua tahun terakhir, ransomware telah kembali dengan sepenuh hati. Mounir Hahad, kepala Juniper Threat Labs di Juniper Networks, melihat dua pendorong besar di balik tren ini. Yang pertama berkaitan dengan keanehan harga cryptocurrency. Banyak cryptojackers menggunakan komputer korbannya untuk menambang mata uang Monero sumber terbuka; dengan harga Monero turun, "di beberapa titik para pelaku ancaman akan menyadari bahwa cryptocurrency penambangan tidak akan sama bermanfaatnya dengan ransomware," kata Hahad. Dan karena penyerang telah mengkompromikan mesin korban mereka dengan pengunduh Trojan, mudah untuk meluncurkan serangan ransomware ketika waktunya tepat. "Aku benar-benar berharap bahwa prospek itu akan dua atau tiga tahun lagi," kata Hahad, "tetapi butuh sekitar satu tahun hingga 18 bulan bagi mereka untuk membuat U-turn dan kembali ke serangan awal mereka."

Tren lainnya adalah bahwa lebih banyak serangan berfokus pada pemogokan server produksi yang menyimpan data penting-misi. "Jika kamu mendapatkan laptop acak, organisasi mungkin tidak terlalu peduli," kata Hahad. "Tetapi jika kamu sampai ke server yang memicu bisnis mereka sehari-hari, itu memiliki kekuatan yang jauh lebih besar."

Jenis serangan ini membutuhkan kecanggihan yang lebih tinggi - tidak harus dalam hal kode ransomware itu sendiri, tetapi dalam keterampilan yang dibutuhkan oleh penyerang untuk menyusup ke sistem yang lebih terlindungi untuk menginstal malware. "Taktik semprotan dan doa tidak akan memberi mereka banyak laba atas investasi," kata Hahad. "Lebih banyak serangan bertarget dengan kemampuan gerakan lateral yang baik akan membuatnya ada di sana, dan sebagian besar waktu gerakan lateral itu tidak otomatis. Ini benar-benar tentang mendapatkan poin intrusi awal dan kemudian seseorang secara manual masuk ke sana dan mengendus-endus jaringan, memindahkan file sekitar, meningkatkan hak istimewa, mendapatkan kredensial untuk beberapa admin yang berpotensi mengakses mesin lain dari jarak jauh. "

Dengan mengingat hal itu, mari kita lihat pelaku terburuk dalam era baru ransomware ini.

5 keluarga ransomware: Target dan metode serangan mereka

1. SamSam

Serangan menggunakan perangkat lunak yang dikenal sebagai SamSam mulai muncul pada akhir 2015, tetapi benar-benar meningkat dalam beberapa tahun ke depan, mendapatkan beberapa kulit kepala profil tinggi, termasuk Departemen Transportasi Colorado, Kota Atlanta, dan berbagai fasilitas perawatan kesehatan. SamSam adalah contoh sempurna tentang bagaimana kecakapan organisasi penyerang sama pentingnya dengan keterampilan pengkodean mereka. SamSam tidak sembarangan mencari kerentanan tertentu, seperti yang dilakukan beberapa varian ransomware lainnya, melainkan beroperasi sebagai ransomware-as-a-service yang pengontrolnya dengan hati-hati menyelidiki target yang dipilih sebelumnya untuk kelemahan, dengan lubang yang telah dieksploitasi saat menjalankan langkah pertama dari kerentanan dalam IIS ke FTP ke RDP. Begitu berada di dalam sistem, penyerang dengan patuh bekerja untuk meningkatkan hak istimewa untuk memastikan bahwa ketika mereka mulai mengenkripsi file, serangan itu sangat merusak.

Meskipun kepercayaan awal di antara para peneliti keamanan adalah bahwa SamSam memiliki asal Eropa Timur, sebagian besar serangan SamSam menargetkan institusi di Amerika Serikat. Pada akhir 2018, Departemen Kehakiman Amerika Serikat mendakwa dua orang Iran bahwa mereka mengklaim berada di balik serangan itu; surat dakwaan mengatakan bahwa serangan-serangan itu telah mengakibatkan kerugian lebih dari $ 30 juta. Tidak jelas berapa banyak dari angka itu yang mewakili uang tebusan sebenarnya; pada satu titik pejabat kota Atlanta menyediakan tangkapan layar media lokal dengan pesan tebusan yang mencakup informasi tentang cara berkomunikasi dengan penyerang, yang membuat mereka menutup portal komunikasi itu, mungkin mencegah Atlanta membayar tebusan walaupun mereka mau.

2. Ryuk

Ryuk adalah varian ransomware lain yang ditargetkan yang melanda besar pada 2018 dan 2019, dengan para korbannya dipilih secara khusus sebagai organisasi dengan sedikit toleransi untuk downtime; mereka termasuk surat kabar harian dan perusahaan air Carolina Utara yang berjuang setelah Badai Florence. The Los Angeles Times menulis akun yang cukup rinci tentang apa yang terjadi ketika sistem mereka sendiri terinfeksi. Salah satu fitur yang sangat licik di Ryuk adalah dapat menonaktifkan opsi Pemulihan Sistem Windows pada komputer yang terinfeksi, membuatnya semakin sulit untuk mengambil data terenkripsi tanpa membayar uang tebusan. Tuntutan tebusan sangat tinggi, sesuai dengan korban bernilai tinggi yang menjadi sasaran penyerang; gelombang serangan musim liburan menunjukkan bahwa para penyerang tidak takut merusak Natal untuk mencapai tujuan mereka.

Analis percaya bahwa kode sumber Ryuk sebagian besar berasal dari Hermes, yang merupakan produk dari Grup Lazarus Korea Utara. Namun, itu tidak berarti bahwa serangan Ryuk sendiri dijalankan dari Korea Utara; McAfee percaya bahwa Ryuk dibuat berdasarkan kode yang dibeli dari pemasok berbahasa Rusia, sebagian karena ransomware tidak akan dijalankan pada komputer yang bahasanya diatur ke Rusia, Belarusia, atau Ukraina. Bagaimana sumber Rusia ini memperoleh kode dari Korea Utara tidak jelas.

3. PureLocker

PureLocker adalah varian ransomware baru yang menjadi subjek makalah bersama oleh IBM dan Intezer pada November 2019. Beroperasi di mesin Windows atau Linux, PureLocker adalah contoh yang baik dari gelombang baru malware yang ditargetkan. Alih-alih mengambil root pada mesin melalui serangan phishing luas, PureLocker tampaknya dikaitkan dengan more_eggs, malware backdoor yang terkait dengan beberapa geng penjahat cyber yang terkenal. Dengan kata lain, PureLocker diinstal pada mesin yang telah dikompromikan dan dipahami dengan baik oleh penyerang mereka, dan kemudian mulai membuat sejumlah pemeriksaan pada mesin di mana ia menemukan dirinya sebelum dieksekusi, daripada mengenkripsi data secara oportunistik di mana pun ia bisa. .

Sementara IBM dan Intezer tidak mengungkapkan seberapa luas infeksi PureLocker, mereka mengungkapkan bahwa sebagian besar terjadi pada server produksi perusahaan, yang jelas merupakan target bernilai tinggi. Karena kontrol manusia dengan keterampilan tinggi serangan semacam ini, peneliti keamanan Intezer Michael Kajiloti percaya bahwa PureLocker adalah ransomware sebagai tawaran layanan yang hanya tersedia untuk geng kriminal yang dapat membayar dengan baik di muka.

4. Zeppelin

Zeppelin adalah keturunan evolusioner dari keluarga yang dikenal sebagai Vega atau VegasLocker, sebuah penawaran ransomware-as-a-service yang mendatangkan malapetaka di perusahaan-perusahaan akuntansi di Rusia dan Eropa Timur. Zeppelin memiliki beberapa trik teknis baru, terutama dalam hal konfigurasi, tetapi apa yang membuatnya menonjol dari keluarga Vega adalah sifatnya yang ditargetkan. Di mana Vega menyebar agak sembarangan dan sebagian besar dioperasikan di dunia berbahasa Rusia, Zeppelin dirancang khusus untuk tidak mengeksekusi di komputer yang berjalan di Rusia, Ukraina, Belarus, atau Kazakhstan. Zeppelin dapat digunakan dalam beberapa cara, termasuk sebagai EXE, DLL, atau loader PowerShell, tetapi tampaknya setidaknya beberapa serangannya datang melalui penyedia layanan keamanan terkelola yang terkompromikan, yang seharusnya mengirim angin dingin ke tulang belakang siapa pun .

Zeppelin mulai muncul di tempat kejadian pada bulan November 2019, dan semakin banyak bukti perbedaannya dari Vega, targetnya dipilih dengan cermat. Para korban sebagian besar berada di industri perawatan kesehatan dan teknologi di Amerika Utara dan Eropa, dan beberapa catatan tebusan ditulis untuk secara khusus membahas organisasi target yang terinfeksi. Para ahli keamanan percaya perubahan dari perilaku Vega adalah hasil dari basis kode yang digunakan oleh aktor ancaman baru dan lebih ambisius, mungkin di Rusia; sementara jumlah infeksi tidak setinggi itu, beberapa orang percaya apa yang telah kita lihat sejauh ini adalah bukti konsep untuk serangkaian serangan yang lebih besar.

5. REvil/Sodinokibi

Sodinokibi, juga dikenal sebagai REvil, pertama kali muncul pada bulan April 2019. Seperti Zeppelin, Sodinokibi tampaknya merupakan keturunan dari keluarga malware lain, yang ini disebut GandCrab; itu juga memiliki kode yang mencegahnya mengeksekusi di Rusia dan beberapa negara yang berdekatan, serta Suriah, menunjukkan bahwa asalnya di wilayah itu. Itu memiliki beberapa metode propagasi, termasuk memanfaatkan lubang di server Oracle WebLogic atau Pulse Connect Secure VPN.

Penyebaran Sodinokibi lagi menunjukkan tim komando dan kontrol yang ambisius di belakangnya, mungkin sebagai ransomware sebagai tawaran layanan. Itu bertanggung jawab untuk menutup lebih dari 22 kota kecil Texas pada bulan September, tetapi itu benar-benar mencapai status terkenal pada Malam Tahun Baru 2019 ketika menurunkan layanan pertukaran mata uang Inggris Travelex, memaksa kios bandara untuk menggunakan pena dan kertas dan meninggalkan pelanggan di limbo. Para penyerang menuntut tebusan $ 6 juta yang menakjubkan, yang perusahaan tolak untuk mengkonfirmasi atau menolaknya membayar.

Ketika saya bertanya pada Juniper Hahad untuk memilih ransomware terburuk 2019, Sodinokibi adalah pilihannya, karena twist tambahan yang dilakukan oleh para pengontrol Sodinokibi ke dalam serangan mereka. "Satu hal yang benar-benar membuat ini sedikit istimewa adalah bahwa kelompok khusus ini telah mengambil pendekatan baru tidak hanya memberi tahu orang, 'kamu tidak akan mendapatkan data kamu kembali jika kamu tidak membayar tebusan,' tetapi juga, 'Kami akan menerbitkan data rahasia itu di web atau menjualnya di forum bawah tanah kepada siapa pun yang merupakan penawar tertinggi.' Itu mengambil pendekatan ransomware ke tingkat berikutnya dalam model bisnis mereka. " Ini adalah penyimpangan besar dari model ransomware yang biasa - lagipula, salah satu keuntungan besarnya adalah kamu dapat mengunci data korban kamu tanpa melalui proses sulit untuk mengelupaskannya - tetapi mereka telah mengikuti ancaman setidaknya sekali. Era baru ransomware yang ditargetkan khusus dan dirancang khusus tampaknya mencapai kedalaman baru dan berbahaya.

Keyword: ransomware, malware, era baru ransomware, era baru malware