Jelang akhir tahun 2016, ESET sudah memprediksi makin maraknya tentang serangan ransomware, apalagi jika semua dikolaborasikan dalam satu wadah seperti Ransomware as a Service atau RaaS, di mana ransomware menjadi frenchise yang bisa digunakan oleh siapa pun termasuk mereka yag masih hijau di dunia kejahatan siber.
Januari lalu misalnya, muncul Satan yaitu sebuah Ransomware as a Service yang menawarkan berbagi keuntungan 70% bagi pengguna dan 30% untuk pengembang malware. Sementara di awal bulan Februari ini muncul sebuah Ransomware as a Service yang diberi nama Ranion.
Sebagai Portal Raas yang baru saja diluncurkan pada Web gelap Ranion langsung banting harga dengan menjajakan akses ke jaringan distribusi ransomware sepenuhnya dengan harga sangat rendah, sebagai cara jitu dari pengembang ransomware Ranion untuk mendapatkan mitra sebanyak-banyaknya.
Meskipun ada klaim bahwa Ranion diciptakan untuk tujuan pendidikan kelompok penjahat siber di balik layanan baru ini menjual akses ke jaringan distribusi ransomware untuk harga 0,95 Bitcoin/tahun ($ 960/tahun) atau 0,6 Bitcoin/6 bulan ($605/6 bulan).
Menurut kru Ranion, setiap pembeli akan menerima akses ke ransomware pra-konfigurasi payload yang bekerja pada Windows PC 32-bit dan 64-bit, tetapi juga untuk panel backend host di layanan tersembunyi Tor (situs .onion).
Ketika korban mengeksekusi Ransomware.exe, ransomware akan mengenkripsi semua jenis file konfigurasi dalam dalam hard disk dari C-Z menggunakan kunci AES 256 yang akan dikirim Command & Control Dashboard.
Ketika selesai ransomware membuat beberapa file README pada Desktop dalam bahasa yang berbeda sejauh ini mereka sudah membuat file README dalam bahasa Inggris, Rusia, Jerman, Perancis, Spanyol, Italia
Ransomware juga akan menjalankan pesan banner untuk setiap upaya Boot yang dilakukan, pesan tersebut berisi rincian pembayaran untuk korban. Ransomware tidak merusak PC dengan mengenkripsi file exe. File exe tidak akan mengenkripsi kecuali jika korban ingin melakukannya.
Ransomware Ranion secara default akan menargetkan beberapa jenis file, namun pengembang malware mengatakan bahawa mereka akan menambah jumlah target file jika kustomer ingin menargetkan lebih banyak file. Berikut file yang menjadi sasaran sementara:
.txt, .rtf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .ods, .jpg, .jpeg, .png, .bmp, .csv, .sql, .mdb, .db, .accdb, .sln, .php, .jsp, .asp, .aspx, .html, .htm, .xml, .psd, .cs, .java, .cpp, .cc, .cxx, .zip, .pst, .ost, .pab, .oab, .msg
Kelompok pnjahat Ranion juga mengklaim bahwa ransomware mereka tidak terdeteksi oleh 90% dari semua produk antivirus. Pernyataan yang benar-benar sangat takabur, karena selama ini tidak ada ransomware yang tidak bisa dideteksi.
Pengembang Malware Tidak Mengambil Keuntungan
Apa yang berbeda dari layanan Raas lain adalah bahwa kelompok Ranion tidak mengambil keuntungan dari uang tebusan. Biasanya, layanan Raas meminta antara 20% dan 60% dari pembayaran uang tebusan di atas biaya sewa Raas.
Model bisnis murah meriah Ranion ini mungkin menarik lebih banyak pelanggan, tapi banyak juga akan meragukan metode yang ditawarkan Ranion, karena banyak yang takut jika Ranion tak lebih dari sebuah penipuan, di jaman sekarang mana ada barang gratisan.
Mereka takut pengembang Ranion akan membajak pembayaran uang tebusan secara diam-diam. Pihak Ranion untuk mengatasi rumor ini akhirnya memberikan solusi, bahwa setiap pengguna Ranion diberi kesempatan menguji layanan mereka.
Hal lain adalah bahwa biaya sewa juga termasuk akses ke dashboard Ranion, yang menyediakan pembeli dengan informasi seperti ID dari komputer yang terinfeksi, nama pengguna workstation dan AES kunci dekripsi masing-masing korban.
Jika korban membayar, Ranion Raas menyediakan Decryptor di mana penyewa dapat mengirim ke pengguna yang komputernya terinfeksi sehingga memungkinkan mereka untuk memulihkan file mereka. Pengembang RaaS Ranion hanya membuat daftar alamat email korban yang dianggap potensial.
Untuk alasan yang sama penyewa Ranion dapat mengkonfigurasi ransomware mereka seperti alamat Bitcoin di mana korban harus membayar uang tebusan, alamat email yang dapat dihubungi korban, jumlah tebusan yang harus dibayar dan crypter opsional untuk melindungi ransomware dari scanner antivirus. Semua itu dikirim ke pengembang Ranion agar semua transaksi bisa langsung ke penyewa.
Setelah transaksi berhasil, pelanggan akan menerima dua link, satu untuk panel backend Ranion mereka, dan satu lagi di mana mereka mengunduh binary ransomware yang disesuaikan dengan pengaturan mereka, dan Decrypter untuk dikirim agar dapat membuka file terenkripsi.
Raas Semakin Populer
model bisnis seperti Ranion yang menurunkan biaya masuk ke pasar ransomware dan memberikan kemudahan layanan penggunaan termasuk membuatnya dapat diakses bahkan untuk pengguna yang masih newbie di dunia bawah tanah. Dengan pembagian keuntungan yang lebih besar bagi penyewa, RaaS semakin menjadi favorit bagi penjahat siber
Seperti dalam dua tahun terakhir, layanan Raas telah tumbuh dalam jumlah, tetapi biasanya, ini berhubungan dengan keluarga ransomware terutama ransomware yang sudah punya nama sebelumnya seperti Raas Petya + Mischa yang diciptakan oleh tim Janus Cybercrime.
Sumber berita:
www.bleepingcomputer.com
