Di dunia ransomware menjadi yang tercepat dalam eksekusi merupakan kunci keberhasilan dan di dunia ini Rorschach raja enkripsi tercepat terbaru mengalahkan LockBit.
Selalu ada persaingan di dunia ransomware, dimana pengembang ransomware selalu mencoba meningkatkan kecepatan pelaksanaan operasi.
Kecepatan sangat menentukan, bahkan platform ransomware-as-a-service (RaaS) sampai mengiklankan kecepatan eksekusi untuk calon afiliasi ransomware.
Baca juga: 3 Fase Serangan Ransomware
Rorschach Raja Enkripsi Tercepat
LockBit, salah satu grup ransomware paling sukses, telah secara terbuka mencantumkan kecepatan enkripsinya dibandingkan kecepatan pesaingnya untuk menunjukkan keunggulannya. Singkatnya, kecepatan sangat penting bagi operasi ransomware.
Rorschach, salah satu varian ransomware terbaru, secara resmi telah mengambil gelar “raja enkripsi tercepat” dari LockBit 3.0. Varian Rorschach pertama kali terdeteksi pada April 2023 dan merupakan turunan khusus dari kode ransomware Babuk.
Rorschach menggunakan kecepatan untuk mencuri perhatian dan melihat lebih dekat bagaimana pengembang ransomware meningkatkan kecepatan di berbagai dimensi lingkungan korban mereka.
Kecepatan Penyebaran
Salah satu komponen kecepatan yang penting adalah kemampuan untuk menyebarkan malware dengan cepat sejauh dan seluas mungkin. Di masa lalu, grup ransomware telah memanfaatkan banyak teknik untuk penyebaran cepat, termasuk serangan rantai pasokan dan menggunakan alat TI dan keamanan yang ada untuk menyebarkan malware mereka.
Namun, Rorschach telah membangun dan mendemonstrasikan kemampuan self-propagating dan otonom yang menarik yang memanfaatkan Active Directory (AD) Domain Group Policy Objects (GPO).
Ini memungkinkan malware menyebar dengan cepat ke seluruh jaringan dan mengeksekusi ransomware di setiap titik akhir dengan kecepatan tinggi. Karena itu, varian Rorschach telah mendorong lebih jauh dari sebelumnya dengan inovasi menarik untuk memperbanyak diri.
Untuk melawan inovasi ini, perusahaan harus mengadopsi alat yang melawan penyebaran diri, seperti teknologi pertahanan aktif, yang menangani ransomware secara waktu nyata dan mendeteksi serangan sesegera mungkin.
Baca juga: Initial Access atau Akses Awal
Kecepatan Enkripsi untuk Pemerasan
Pada endpoint Windows, pengembang Rorschach dengan hati-hati menggunakan HC-128, sebuah stream cipher yang mengenkripsi aliran besar data file dengan kinerja yang mengesankan.
Ransomware Rorschach juga menggunakan metode pertukaran kunci asimetris, yang didasarkan pada Curve25519. Ini efisien dalam kinerja komputasi dan konsumsi memori sekaligus mempertahankan keamanan yang kuat.
Seperti banyak jenis ransomware lainnya, termasuk LockBit dan Babuk, Rorschach hanya mengenkripsi sebagian file, bukan seluruh konten file. Taktik ini dikenal sebagai enkripsi intermiten, yang menjadi populer dalam beberapa tahun terakhir karena efisiensi dan kecepatannya.
Mengenkripsi hanya sebagian file secara dramatis mengurangi waktu yang diperlukan untuk menyelesaikan enkripsi data. Dengan mempersingkat fase enkripsi serangan, operator ransomware memberi lebih sedikit peluang bagi alat keamanan untuk mendeteksinya.
Enkripsi data adalah bagian yang terlihat dari serangan, dan pelaku memperpendek jendela itu untuk meningkatkan peluang mereka dalam perlombaan melawan sistem keamanan.
Parelelisme dan Multithreading
Seperti LockBit dan ransomware terkenal lainnya, Rorschach juga memanfaatkan paralelisme dan multithreading untuk enkripsi cepat berkinerja tinggi.
Teknik paralelisme adalah melakukan eksekusi banyak tugas secara bersamaan atau melakukan banyak pekerjaan secara serentak. Sementara multithreading adalah konsep pemrograman di mana aplikasi dapat membuat unit tugas kecil untuk dieksekusi secara paralel.
Karena implementasi ransomware Rorschach disesuaikan untuk setiap jenis sistem operasi, ini memanfaatkan kemampuan Windows tertentu yang dikenal sebagai port penyelesaian I/O untuk enkripsi multithread yang efisien. Teknik ini dipinjam dari LockBit 3.0, REvil, Hive, BlackMatter, dan DarkSide.
Sementara peringkat kecepatan enkripsi data di antara geng ransomware sangat menarik, penting untuk dicatat bahwa hampir semua varian ransomware modern sudah melakukan enkripsi data dengan sangat cepat.
Namun, sementara Rorschach memang mengungguli pesaing dalam kecepatan di beberapa bidang. Namun, saat ini tampaknya belum mengekstraksi data untuk pemerasan ganda, jika dibandingkan dengan geng ransomware lainnya, termasuk LockBit, yang pertama kali mengekstraksi data perusahaan.
Sementara enkripsi data adalah bagian yang terlihat dari serangan ransomware, eksfiltrasi data adalah pertarungan yang tidak terlihat melawan para keamanan TI. Pelaku ransomware biasanya mengekstrak data dalam jumlah besar untuk pemerasan ganda sebelum memulai enkripsi data.
Baca juga: Permukaan Serangan atau Attack Surface
Di Bawah Radar
Salah satu gebrakan Rorschach yang sangat inovatif adalah kemampuannya untuk tetap berada di bawah radar dengan menggunakan teknologi penipuan.
Kemampuan penghindaran keamanan canggih Rorschach memanfaatkan teknik dan konsep penipuan berlapis, seperti dengan:
- Menggunakan teknik penyamaran.
- Akun pengguna dan layanan domain yang valid.
- Dan teknik spoofing argumen untuk menyembunyikan kemampuan sebenarnya dari ransomware.
Penghindaran pertahanan semacam ini baru untuk ancaman ransomware, tetapi itu bukan hal baru di dunia keamanan siber. Untuk memerangi teknik Rorschach untuk perbanyakan diri menggunakan GPO AD dan operasi berkecepatan tinggi, perusahaan memerlukan solusi yang dapat mendeteksi dan merespons kemampuan ransomware real time.
Ransomware Rorschach telah mengadaptasi inovasi dari grup ransomware yang sebelumnya sukses seperti LockBit, Babuk, dan REvil dan membangun kesuksesan sendiri dengan menambahkan kemampuan enkripsi secepat kilat.
Baca lainnya: |
Sumber berita;