Ransomware Locky sebagai salah satu momok paling menakutkan diantara malware lain beberapa minggu belakangan mengalami penurunan intensitas serangan di internet. Absennya Locky sementara ini cukup membuat banyak pihak bisa mengambil nafas setelah tahun lalu mendapat rongrongan beruntun dari ransomware ini.
Dua bulan lalu Locky sempat membuat huru hara di media sosial dengan menyerang melalui Facebook Messenger menggunakan file gambar dengan ekstensi .SVG, di kesempatan lain Flash Player menjadi kuda tunggangan Locky mencari mangsa, lalu ia berganti wajah dengan mengubah ekstensi menjadi .ZZZZ, mengubah lagi ekstensinya menjadi .OSIRIS.
Sejak saat itu selama empat minggu terakhir, penyebaran ransomware Locky hanya melalui malware Kovter yang menjadi sumber pendistribusian karena botnet Necurs yang menjadi sumber primer penyebaran telah offline sejak libur Natal dan Tahun Baru.
Pada bulan Oktober Locky sempat menduduki tempat pertama sebagai ancaman malware tertinggi di dunia, namun memasuki bulan Desember dan seterusnya posisi Locky terjungkal jauh ke bawah, keluar dari posisi sepuluh besar seiring dengan menurunnya spam Locky hingga 81 persen.
Minimnya aktivitas spam Locky patut disyukuri oleh semua pihak yang selama ini sering direpotkan dengan serangan Locky yang terkenal memiliki banyak varian dan metode distribusi yang sangat variatif. Satu-satunya jejak yang ditinggalkan Locky adalah pada saat pengunduhan tahap dua dalam malware Kovter.
Locky dan Kovter
Kovter adalah malware click fraud yang menginfeksi komputer dan mengklik iklan atas nama pengguna yang komputernya terinfeksi. Malware ini diketahui eksis selama bertahun-tahun dan baru belakangan ikut aktif mendistribusikan berbagai macam muatan sekunder.
Malware Kovter pada bulan Januari 2016 mengunduh dan menginstal klien proxy pada PC yang terinfeksi, mengubah host terinfeksi menjadi server proxy untuk layanan web proxy, ProxyGate. Cara ini memudahkan grup Kovter mendapatkan keuntungan dari dua sisi dengan routing traffic web melalui PC terinfeksi, sementara di sisi lain mendapatkan uang dari kegiatan utama mereka yaitu click fraud.
Sebelum grup Kovter rajin memuat Locky dalm malwarenya, mereka juga sering membawa malware lain seperti Nemucod dan beberapa varian ransomware lain di bulan-bulan berikutnya, sampai akhirnya menyewa dan mendistribusikan Locky mulai bulan Oktober, sebagai bagian skema afiliasi, berbagi keuntungan dengan geng Locky.
Keterkaitan antara Kovter dan Locky dapat dengan mudah melacak dari afiliasi ID 23 dan 24 yang ditemukan dalam file konfigurasi Locky yang muncul pada setiap sistem terinfeksi.
Saat ini, email spam melalui Kovter adalah satu-satunya sumber infeksi Locky. Sebagian besar email tampaknya datang dari script mailer yang diinstal pada situs dikompromikan, seperti situs-situs yang menjalankan Joomla.
Necurs Segera Kembali
Sebelumnya, sebagian besar email spam yang mendistribusikan Locky berasal dari spam yang dikirim melalui Necurs, botnet dari PC yang terinfeksi oleh bootkit Necurs.
Botnet Necurs adalah botnet yang sama bertanggung jawab atas distribusi trojan perbankan Dridex beberapa waktu lalu, salah satu trojan perbankan yang paling canggih yang dikenal sampai saat ini.
Pada tahun 2015, Dridex menjadi payload utama Necurs, sementara selama 2016, kelompok yang berada di balik botnet Necurs perlahan-lahan menghentikan dukungannya terhadap Dridex dan beralih pada Locky, kemungkinan besar perlaihan ini disebabkan karena keuntungan yang mereka dapatkan melalui ransomware jauh lebih besar dibandingkan dengan hasil penipuan bank.
Saat ini, server command & control Necurs sedang offline. Botnet ini juga offline di periode yang sama pada tahun lalu, dari sebelum Natal sampai pertengahan Januari, Periode yang mencakup musim liburan dalam kalender Gregorian modern dan kalender Julian di beberapa bagian Eropa Timur menurut keyakinan Kristen Ortodoks.
Sepertinya para pengembang malware juga butuh liburan seperti orang kebanyakan, mari berharap semoga saja mereka tidak segera kembali dalam waktu dekat, karena jika itu terjadi maka kita semua harus bersiap-siap menghadapi segala macam ulah mereka di dunia digital. Karena itu ESET menyarankan agar selama masa tenang ini, setiap perusahaan melakukan banyak persiapan seperti memberikan edukasi tentang keamanan siber pada setiap karyawan dan menyempurnakan protokol perlindungan sistem keamanan.
Sumber berita:
bleepingcomputer.com
phishme.com
