Maraknya Ransomware yang menakutkan dari berbagai belahan dunia semakin hingar-bingar dengan kehadiran Kimcilware di Indonesia. Kata Kimcil terdengar ramah di telinga, khususnya bagi mereka yang tinggal di wilayah Jawa Tengah dan Jawa Timur. Dari penggunaan inama yang lazimnya memang hanya terkenal di daerah Jawa, menimbulkan kecurigaan bahwa pelaku berasal dari Indonesia.
Kimcil sendiri berarti perempuan nakal. Indikasi lain yang menguatkan dugaan ransomware ini buatan lokal terlihat dari alamat email pelaku yang tercantum dalam ransom note yang menggunakan nama tuyuljahat, sangat Indonesia bukan?
KimcilWare yang baru saja ditemukan khusus mengincar situs-situs yang menggunakan Magento eCommerce atau dengan kata lain Kimcil menargetkan sasarannya pada situs-situs belanja online atau sejenisnya yang terkenal dan belakangan ini situs seperti ini memang sedang marak di Indonesia. Website para korban yang terinfeksi akan dienkrip menggunakan Rijndael 256 dan kemudian seperti biasa pelaku akan meminta sejumlah uang tebusan dengan jumlah tergantung dari varian yang menginfeksi mereka.
Dalam rekam jejak sejarah ransomware, Kimcilware adalah varian yang berasal dari Hidden Tear, sebuah ransomware yang sudah lama diabaikan karena memiliki masalah pada koneksi ke server Command & Control namun dibagikan secara gratis untuk keperluan edukasi. Pengembang malware ini tampaknya berhasil mendapatkan source Hidden Tear dan sudah memperbaiki kelemahan tersebut, hingga mampu membuat varian baru dengan nama Kimcilware. Setiap server yang terjangkit Kimcil mereka akan mendapat sebuah ransom note yang berisi alamat email yaitu tuyuljahat@hotmail.com.
Situs dengan platform Magento adalah sasaran Kimcil. Disinyalir pelaku juga sudah meretas server yang menggunakan Magento setidaknya selama satu bulan terakhir dan mencuri data, dan mengembangkan kemampuannyadengan malware ini. Ketika mereka mulai menyerang situs, mereka menggunakan setidaknya dua script berbeda untuk melakukan enkripsi. Malware ini akan mengenkripsi semua data pada website dan menambahkan ekstensi sesuai variannya. Berikut varian yang ada dari Kimcilware:
- Varian pertama:
- Menghasilkan file .kimcilware ke semua file uang dienkripsi.
- Memasukkan file index.html yang menampilkan ransom note.
- Meminta uang tebusan sebesar $140 USD
- Varian kedua:
- Menghasilkan file . locked ke semua file uang dienkripsi.
- Menghasilkan file README_FOR_UNLOCK.txt dalam setiap folder, yang berisi instruksi tebusan. file index.html yang menampilkan ransom note.
- Meminta uang tebusan sebesar 1 bitcoin (sekitar $415 USD).
Contoh folder terenkripsi oleh Kimcilware bisa dilihat di bawah.
Contoh isi file bernama README_FOR_UNLOCK.txt dalam setiap folder, yang berisi instruksi tebusan:
Yudhi Kukuh, Technical Consultant PT Prosperita – ESET Indonesia menyatakan: “Saat ini server Command & Control Kimcilware sudah diketahui dan dimatikan, namun bukan berarti peredarannya berhenti. Sebagian code Kincimware dibuat menggunakan PHP, bahasa pemprograman berbasis web yang sangat popular di Indonesia. Kesuksesan Kimcilware mendapatkan perhatian di dunia IT security dan biasanya akan diikuti oleh banyak penerusnya. Terlebih dengan beredarnya Hidden Tear yang dapat
dimodifikasi membuat setengah pekerjaan para pembuat malware sudah selesai dan dilanjutkan dengan kreativitas dan modifikasi target sesuai tujuan”.
Yudhi menambahkan bahwa gelombang malware dengan tujuan ekonomi atau mendapatkan keuntungan finansial makin nyata, tidak lagi hanya sekedar mencari popularitas. Keamanan data di Indonesia sudah memasuki fase ini. Edukasi publik dan pemilihan software antivirus yang mumpuni menjadi sangat penting.
Credit title gambar: http://www.bleepingcomputer.com
