Masih ingat dengan EternalBlue? Eksploit kit yang diduga milik NSA yang dicuri oleh kelompok siber Shadow Broker. EternalBlue yang kemudian menjadi jalan masuk bagi WannaCry dan membuat gempar seluruh dunia karena mampu menginfeksi ribuan komputer hanya dalam waktu singkat.
Dengan mengeksploitasi Windows menggunakan EternalBlue pada server Windows SMB lalu secara agresif mencari sendiri komputer rentan untuk diinfeksi. Syukurlah pada saat itu ESET mampu mendeteksi pada hari yang sama, kurang dari 24 jam sejak penyebaran pertamanya. ESET yang mendeteksi WannaCry variant ini sebagai: Win32/Filecoder.WannaCryptor.D.
Namun, cerita tentang mereka belum berakhir sampai sekarang, terutama untuk eksploit kit EternalBlue yang sering dimanfaatkan penjahat siber dengan memodifikasinya untuk berbagai kepentingan. Yang terbaru adalah beberapa trojan perbankan menambah dukungan untuk EternalBlue.
Trojans perbankan pertama yang melakukannya adalah Emotet dan TrickBot, pada bulan Juli tahun ini. Kedua trojan perbankan ini melakukan kustomisasi berat terhadap eksploit kit EternalBlue untuk menyebar ke komputer lain di jaringan internal yang sama,memburu data-data yang lebih sensitif dalam komputer.
Pembaruan terhadap kedua trojan ini tampaknya telah mengilhami pengembang trojan perbankan Retefe untuk melakukan hal yang serupa, mengingat metode ini dapat membantu mereka menyebarkan trojan secara cepat dan memberi banyak keuntungan.
Tiga Trojan
Sejak awal September Retefe telah menggunakan EternalBlue sebagai bagian dari rutinitas infeksinya. Sepertinya pengembang Retefe tidak mau ketinggalan dari yang lain, sehingga menjilplak konsep yang sama.
Tujuannya sama, untuk memungkinkan pelaku meningkatkan infeksi awal ke komputer lain pada jaringan yang sama dengan mengeksploitasi layanan SMBv1 yang sudah ketinggalan zaman. Sama seperti dengan Emotet dan TrickBot, Retefe nampaknya telah memodifikasi konsep eksploitasi EternalBlue proof-of-concept yang diposkan di GitHub.
Melihat kelompok Retefe menambahkan dukungan untuk EternalBlue bukanlah suatu hal yang mengherankan, kelompok penjahat di balik Retefe memang selalu giat mencari cara baru untuk bisa masuk dan menyusup ke dalam sistem korban-korbannya.
Di samping Qbot, geng Retefe termasuk kelompok yang lebih memilih serangan berskala kecil dibandingkan dengan pendekatan operasi spam dalam jumlah besar-besaran yang trojan bank lain seperti TrickBot atau Dridex sukai.
Geng Retefe biasanya menargetkan nasabah bank di negara-negara seperti Austria, Swedia, Swiss, dan Jepang. Grup ini telah aktif sejak 2013 dan juga salah satu dari sedikit trojan perbankan yang mampu menginfeksi Mac.
Trojan ini juga unik karena tidak menggunakan browser untuk menyuntikkan halaman login palsu di atas situs yang sah. Retefe adalah salah satu dari beberapa trojan perbankan yang masih aktif saat ini yang mengandalkan modifikasi pengaturan proxy komputer untuk mengarahkan lalu lintas ke situs web tertentu ke klon yang diinangi oleh server pelaku.
Selanjutnya, sebagian besar server ini disimpan di Dark Web, yang mampu menghambat sebagian besar upaya melacak pengembang sebenarnya dari trojan. Retefe yang paling suka menargetkan bank-bank Swiss.
Banyak yang percaya bahwa kelompok Retefe suka berfokus pada bank-bank di Swiss karena potensi menghasilkan jumlah uang yang lebih besar karena bank-bank ini biasanya melayani pelanggan kelas atas dan bisnis besar.
saran ampuh bagaimana menghadapi eksploit kit EternalBlue, selain menggunakan ESET sebagai pelindung pertahanan, Salah satu solusi penting lain adalah melakukan patch windows. Khusus untuk Windows XP disarankan upgrade Windows karena patch sudah tidak tersedia dari Microsoft. Patching Windows tersedia di link berikut ini:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
Untuk membantu pengguna komputer di seluruh dunia, ESET merilis sebuah tool bernama EternalBlue Vulnerability Checker. Tool tersebut diciptakan peneliti ESET guna membantu menangkal penyebaran yang ditunggangi oleh EternalBlue, serta membantu setiap pengguna komputer untuk memastikan sistem operasi yang dimilikinya terbebas dari exploit EternalBlue.
EternalBlue Vulnerability Checker berfungsi memeriksa apakah Windows sudah benar-benar ditambal dari EternalBlue, dengan mengetahui berhasil tidaknya patching yang dilakukan membantu pengguna untuk segera mengambil tindakan cepat untuk mencegah komputer terinfeksi. Karena eksploit kit yang berada di belakang penyebaran ransomware WannaCry, dapat juga digunakan untuk menyebarkan software untuk mencuri cryptocurrency dan malware berbahaya lain, seperti trojan perbankan.
EternalBlue Vulnerability Checker (WannaCry)
EternalBlue Vulnerability Checker – https://help.eset.com/eset_tools/ESETEternalBlueChecker.exe
Manual Penggunaan
http://support.eset.com/alert6442/?intcmp=eternalblue-checker-tool
