Ransomware LokiLocker Pemeras Merangkap Wiper

Operasi ransomware baru yang dijuluki LokiLocker perlahan-lahan mendapatkan perhatian sejak Agustus di antara penjahat dunia maya. Program mereka menggunakan teknik penyamaran kode yang relatif jarang dan menyertakan komponen penghapus file yang dapat digunakan pelaku terhadap korban yang tidak patuh.

LokiLocker adalah keluarga ransomware yang relatif baru yang menargetkan korban berbahasa Inggris dan PC Windows. Ancaman pertama kali terlihat pada pertengahan Agustus 2021. Oleh karena itu, jangan terkecoh dengan keluarga ransomware lama bernama Locky, yang terkenal pada 2016 atau LokiBot yang merupakan pencuri info. LokiLocker memiliki beberapa kesamaan dengan ransomware LockBit seperti value registri dan nama file catatan tebusannya.

Sejauh ini tampaknya penawaran LokiLocker sebagai ransomware-as-a-service (RaaS) telah dibagikan dengan sejumlah kecil afiliasi yang diperiksa dengan cermat, individu atau kelompok penjahat dunia maya yang akan melakukan penyebaran ransomware dipilih dengan hati-hati, diperkirakan bahwa LokiLocker saat ini memiliki sekitar 30 afiliasi.

Tren Baru

LokiLocker ditulis dalam bahasa pemrograman .NET, tetapi kodenya disamarkan dengan versi modifikasi ConfuserEX yang dikombinasikan dengan KoiVM. Ini adalah dua pelindung kode open source untuk aplikasi .NET.

Tujuan program seperti ConfuserEX dan KoiVM adalah untuk membuat rekayasa balik lebih sulit dengan tujuan melindungi source code berpemilik dari aplikasi komersial, tetapi pembuat malware terkadang menggunakan program tersebut untuk menghindari deteksi oleh program keamanan dan peneliti.

Penggunaan KoiVM oleh LokiLocker sebagai pelindung virtualisasi untuk aplikasi .NET adalah metode yang tidak biasa untuk memperumit analisis. Tapi sejauh ini masih belum banyak penjahat dunia maya lain menggunakannya, jadi ini mungkin awal dari sebuah tren baru.

Kemampuan LokiLocker

Saat pertama kali dijalankan di komputer, LokiLocker menyalin dirinya sendiri sebagai %ProgramData%/winlogon.exe dan kemudian membangun persistensi dengan menggunakan tugas terjadwal dan entri registri start-up. Malware memiliki file konfigurasi yang dapat disesuaikan oleh afiliasi dan yang dapat digunakan untuk menginstruksikan malware untuk:

• Tampilkan Windows Update screen palsu
• Matikan proses tertentu dan hentikan layanan sistem tertentu
• Nonaktifkan Windows Task Manager
• Hapus cadangan sistem dan Shadow Volume Copies
• Nonaktifkan Windows Error Recovery dan Windows Firewall
• Hapus system restore
• Kosongkan Recycle Bin
• Nonaktifkan Windows Defender
• Ubah pesan yang ditampilkan di layar login pengguna

Ransomware kemudian mengumpulkan informasi tentang sistem yang terinfeksi dan mengirimkannya ke URL server command and control. Server akan mengirimkan kembali kunci RSA publik yang akan digunakan untuk mengenkripsi pasangan kunci publik private yang dihasilkan oleh ransomware untuk setiap individu korban.

Kunci RSA publik korban kemudian digunakan untuk mengenkripsi kunci enkripsi file AES yang dibuat secara acak. Jika komunikasi dengan server tidak memungkinkan, biner ransomware berisi lima kunci RSA publik harcode dapat digunakan. Hanya pelaku yang memiliki kunci privat RSA yang akan mendekripsi kunci privat RSA korban yang akan mendekripsi kunci AES yang diperlukan untuk dekripsi file.

LokiLocker akan mulai mengenkripsi file di direktori berikut: Desktop, Personal, MyPictures, MyVideos and MyMusic. Ia kemudian akan melanjutkan untuk mengenkripsi file di semua drive lokal, tetapi ini tergantung pada konfigurasi afiliasi. Ada opsi untuk hanya mengenkripsi drive C, atau melewati drive C. Malware ini juga memiliki fungsi pemindaian jaringan, yang dapat digunakan untuk mendeteksi dan mengenkripsi jaringan berbagi, tetapi menggunakan fungsi ini juga dapat dikonfigurasi.

Terakhir, LokiLocker berisi modul penghapus/wiper yang akan mencoba menghapus file dari semua drive lokal dan kemudian menimpa Master Boot Record (MBR) hard drive, yang akan membuat sistem tidak dapat melakukan boot ke sistem operasi. Sebagai gantinya, pengguna akan melihat pesan yang berbunyi: “Anda tidak membayar kami, jadi kami menghapus semua file Anda.” Fungsionalitas wiper akan otomatis terpicu berdasarkan timer yang disetel 30 hari tetapi dapat dikonfigurasi.

Asal LokiLocker

Tidak jelas siapa pembuat LokiLocker, tetapi para peneliti mencatat bahwa string debug yang ditemukan dalam malware ditulis dalam bahasa Inggris tanpa kesalahan ejaan besar yang terkadang umum terjadi pada pengembang malware Rusia atau China. Sebaliknya, ada beberapa tautan potensial ke Iran, tetapi ini dapat dengan sengaja dipasang untuk mengelabui peneliti malware.

Malware berisi string “Iran” dalam rutinitas yang berpotensi dimaksudkan untuk menentukan negara yang harus dikecualikan dari enkripsi file, yang merupakan pendekatan umum untuk beberapa pembuat ransomware. Namun, fungsi ini tampaknya belum diterapkan.

Beberapa contoh awal LokiLocker didistribusikan sebagai versi Trojan dari alat pemeriksaan kredensial brute-force seperti PayPal BruteChecker, Spotify BruteChecker, PiaVPN Brute Checker, dan FPSN Checker. Beberapa alat ini, bukan versi yang ditrojankan, dibuat oleh tim peretas Iran bernama AccountCrack. Selain itu, setidaknya tiga afiliasi LokiLocker memiliki nama pengguna yang juga dapat ditemukan di forum peretasan Iran.

Tidak sepenuhnya jelas apakah ini berarti mereka benar-benar berasal dari Iran atau bahwa aktor ancaman sebenarnya mencoba menyalahkan peretas Iran. Mungkin sulit membedakan mana penipu dan pelaku sesungguhnya, antara petunjuk yang berarti dan tanda palsu, tapi satu hal yang pasti ancaman ransomware LokiLocker adalah suatu hal yang nyata.