Credit image: Freepix
Varian Baru Chaos Enkripsi Selektif & Penghancuran Data – Kelompok ransomware Chaos baru-baru ini mengalami peningkatan signifikan dengan munculnya varian baru yang sangat agresif.
Varian ini menambahkan taktik destruktif baru, kemampuan membajak clipboard untuk pencurian cryptocurrency, serta berbagai fitur lain yang meningkatkan kecepatan dan efektivitas operasinya.
Para peneliti telah mengidentifikasi versi terbaru ransomware Chaos yang ditulis menggunakan bahasa C++ dan ini bukanlah kebiasaan para pengembang Chaos.
Ini pertama kalinya Chaos tidak ditulis dalam bahasa .NET, menandakan evolusi besar yang membuat ransomware ini lebih sulit dihentikan dan lebih merusak.
Evolusi ini menggarisbawahi pergeseran Chaos menuju metode yang lebih agresif, memperkuat dampak operasionalnya sekaligus risiko finansial yang ditimbulkan kepada korban.
|
Baca juga: Awas Hotspot Gadungan |
Enkripsi Selektif dan Penghancuran Data
Varian Chaos-C++ memperkenalkan fitur enkripsi yang unik dan sangat efisien. Alih-alih melakukan enkripsi penuh pada seluruh file, ia menggunakan kombinasi metode yang lebih cepat, termasuk:
1. Penghapusan File Sangat Besar
Metode yang paling tidak biasa adalah penghancuran file berukuran sangat besar (di atas 1,3 GB) dengan cara menghapus isinya secara langsung alih-alih mengenkripsinya.
- Taktik tidak biasa ini secara efektif menyebabkan kehilangan data yang tidak dapat dipulihkan, terutama memengaruhi arsip, database, dan backup (cadangan data).
- Taktik penghapusan file ini berisiko melemahkan strategi double extortion Chaos. Sebab, jika data tidak dapat dipulihkan, korban tidak memiliki insentif untuk membayar tebusan.
2. Enkripsi Berdasarkan Ukuran File
Chaos-C++ memilah file berdasarkan ukurannya untuk menentukan tindakan yang tepat:
- File < 50 MB: Akan dienkripsi sepenuhnya.
- File antara 50 MB – 1,3 GB: Akan dilewati dan tidak disentuh. Hal ini mungkin bertujuan untuk mengurangi waktu pemrosesan enkripsi atau menghindari deteksi pada file berukuran besar yang umum terdapat di backup.
Secara keseluruhan, metode ini meningkatkan efisiensi dengan mengurangi waktu pemrosesan, memungkinkan serangan yang lebih cepat terhadap volume data yang besar.
Pencurian Bitcoin Lewat Pembajakan Clipboard
Fitur utama lain dari varian baru Chaos adalah mekanisme pembajakan clipboard yang canggih untuk mencuri cryptocurrency.
|
Baca juga: Obfuscation: Penyamaran Kode dalam Kejahatan Siber |
Cara Kerja Pencurian Kripto
Fitur ini dirancang untuk memastikan bahwa setiap upaya pembayaran Bitcoin oleh korban secara diam-diam dialihkan ke dompet penyerang.
- Chaos-C++ akan memvalidasi alamat Bitcoin yang disalin korban di clipboard (dengan memeriksa panjang dan prefix).
- Begitu alamat yang sah teridentifikasi, malware segera menggantinya dengan alamat dompet Bitcoin Bech32 yang dikendalikan oleh penyerang dan telah tertanam di dalam malware.
- Proses penggantian dilakukan melalui Windows Clipboard API, memastikan bahwa setiap pembayaran Bitcoin yang dicoba akan dialihkan ke penyerang, terlepas dari identitas penerima yang dimaksudkan korban. Bahkan jika korban mencoba memulihkan dompet, transaksi tersebut mungkin dikirim ke peretas karena kesalahan penyalinan.
Strategi ganda antara enkripsi destruktif dan pencurian finansial rahasia ini menyoroti transisi Chaos menjadi ancaman yang lebih agresif dan beragam, dirancang untuk memaksimalkan keuntungan finansial.
Evolusi Chaos dan Pertahanan yang Diperlukan
Chaos adalah operasi Ransomware as a Service (RaaS) yang kemungkinan besar terdiri dari anggota geng ransomware BlackSuit sebelumnya.
Kelompok ini berspesialisasi dalam perburuan target besar (big-game hunting) dan serangan pemerasan ganda (double-extortion) yaitu mengenkripsi file sekaligus mencuri data untuk diancam bocor.
Ancaman Wiper: Mengingat indikasi strategi enkripsi dan penghapusan file yang tidak biasa, Pebeliti mencatat bahwa di masa depan Chaos mungkin akan mulai bertindak lebih seperti wiper (penghapus data) daripada ransomware tradisional, yang berpotensi lebih menghancurkan bagi korban.
Langkah Pertahanan
Evolusi ransomware ini menunjukkan betapa gigihnya pelaku kejahatan siber. Para pembela dan organisasi dianjurkan untuk segera mengambil tindakan:
- Pastikan solusi antivirus (AV) yang Anda gunakan telah memasukkan signature terbaru untuk mendeteksi varian Chaos.
- Perusahaan harus menerapkan praktik keamanan terbaik, membatasi hak akses, meminimalisir layanan yang terekspos, dan menggunakan VPN/SSH untuk koneksi yang diperlukan.
- Pengguna harus sangat berhati-hati saat menyalin dan menempel (copy-paste) alamat cryptocurrency, dengan selalu memverifikasi ulang beberapa karakter awal dan akhir alamat di field pembayaran sebelum mengonfirmasi transaksi.
Sumber berita:
