Credit image: Freepix
Ransomware Kraken Pemburu Data Canggih – Para peneliti keamanan siber kini menyoroti ancaman baru di dunia ransomware bernama Kraken.
Ransomware Kraken, yang menargetkan sistem berbasis Windows dan Linux/VMware ESXi, memiliki kemampuan unik yang jarang ditemukan pada malware sejenis.
Ia menguji kecepatan mesin korban untuk menentukan seberapa cepat ia dapat mengenkripsi data tanpa membebani sistem secara berlebihan.
Menurut para peneliti, fitur ini menggunakan file sementara untuk memilih antara enkripsi data penuh atau enkripsi parsial.
Kraken muncul awal tahun ini sebagai kelanjutan dari operasi HelloKitty dan terlibat dalam serangan big-game hunting, di mana mereka mencuri data untuk melakukan pemerasan ganda (double extortion).
|
Baca juga: SnakeStealer Pencuri Data yang Merajalela |
Evolusi Kraken dan Skema Pemerasan
Kraken tidak muncul dari kehampaan. Berbagai indikasi pada situs kebocoran data mereka, serta kesamaan dalam catatan tebusan.
Menunjukkan adanya hubungan erat dengan ransomware HelloKitty yang sempat terkenal pada tahun 2021 dan mencoba rebranding setelah kode sumbernya bocor.
- Kraken beroperasi dalam skema pemerasan ganda: pertama, mengenkripsi file agar tidak bisa diakses; kedua, mencuri data sensitif dan mengancam akan mempublikasikannya jika tebusan tidak dibayar.
- Para korbannya terdaftar di situs kebocoran data milik Kraken, berasal dari berbagai negara, termasuk Amerika Serikat, Inggris, Kanada, Kuwait, dan Denmark. Dalam salah satu kasus yang diamati, permintaan tebusan mencapai $1 juta dalam Bitcoin.
- Selain operasi ransomware, Kraken juga meluncurkan forum kejahatan siber baru bernama “The Last Haven Board” untuk memfasilitasi komunikasi dan pertukaran hacker secara aman.
Dari Celah SMB ke Enkripsi
Serangan ransomware Kraken biasanya dilakukan melalui proses multitahap yang canggih:
Akses Awal (Initial Foothold)
Serangan Kraken umumnya dimulai dengan eksploitasi kerentanan SMB (Server Message Block) pada aset yang menghadap ke internet.
Kerentanan SMB (seperti EternalBlue atau bug lainnya) sering dieksploitasi karena memungkinkan penyerang mendapatkan pijakan awal pada jaringan.
Pergerakan Jaringan dan Pencurian Data
Setelah masuk, penyerang melakukan langkah-langkah kritis:
1. Mencuri kredensial akun administrator.
2. Menggunakan kredensial tersebut untuk masuk kembali melalui RDP.
3. Menyebarkan alat pihak ketiga seperti Cloudflared dan SSHFS.
- Cloudflared: Digunakan untuk membuat reverse tunnel (terowongan terbalik) dari host korban kembali ke infrastruktur penyerang.
- SSHFS: Memungkinkan penyerang mengeksfiltrasi (mencuri) data melalui sistem file jarak jauh (mounted remote filesystems).
Dengan terowongan Cloudflared yang persisten dan RDP, operator Kraken bergerak lateral (lateral movement) ke semua mesin yang dapat dijangkau untuk mencuri data berharga sebelum melancarkan enkripsi.
Uji Kinerja Mesin Sebelum Menyerang
Fitur yang membedakan Kraken adalah kemampuannya untuk menguji kinerja mesin korban sebelum enkripsi dimulai.
Mekanisme Benchmark: Ketika perintah enkripsi dikeluarkan, Kraken akan melakukan benchmark kinerja pada setiap mesin:
- Membuat file sementara dengan data acak.
- Mengenkripsi file tersebut dalam operasi berwaktu.
- Menghitung hasilnya.
- Menghapus file sementara.
Penentuan Mode Enkripsi: Berdasarkan hasil kecepatan, Kraken memutuskan apakah data akan dienkripsi sepenuhnya (full) atau sebagian (partial).
Tujuan: Penilaian ini memungkinkan Kraken bergerak cepat dengan tahap akhir serangan dan menimbulkan kerusakan maksimum tanpa memicu peringatan (alerts) keamanan yang disebabkan oleh penggunaan sumber daya (resource usage) yang intensif.
Sebelum benar-benar memicu enkripsi, Kraken menghapus shadow volumes (salinan cadangan sistem), menghapus Recycle Bin, dan menghentikan layanan backup yang berjalan pada sistem.
|
Baca juga: Ancaman Terbesar Kini Datang dari Ponsel Pribadi Karyawan |
Modul Enkripsi Multi Target
Versi Windows dari Kraken dilengkapi dengan empat modul enkripsi khusus untuk menyerang berbagai jenis data:
- SQL Database: Mengidentifikasi instance Microsoft SQL Server, menemukan direktori file database, dan mengenkripsi file data SQL.
- Network Share: Mencantumkan network share yang dapat diakses (mengabaikan ADMIN$ dan IPC$) dan mengenkripsi file pada semua share lain yang dapat dijangkau.
- Local Drive: Memindai drive lokal, removable, dan remote, lalu mengenkripsi isinya menggunakan thread pekerja terpisah.
- Hyper-V: Menggunakan perintah PowerShell tersemat untuk mencantumkan Mesin Virtual (VM), menghentikan paksa VM yang berjalan, dan mengenkripsi file disk VM terkait.
Versi Linux/ESXi memiliki logika yang sama, yakni menghentikan paksa VM yang berjalan untuk membuka kunci file disk mereka.
Dan kemudian melakukan enkripsi penuh atau parsial multi-threaded menggunakan logika benchmarking yang sama dengan versi Windows.
Setelah enkripsi selesai, script yang dibuat secara otomatis bernama ‘bye_bye.sh’ akan dieksekusi untuk menghapus semua log, riwayat shell, binary Kraken, dan terakhir, script itu sendiri.
File yang terenkripsi ditandai dengan ekstensi ‘.zpsc’, dan catatan tebusan (‘readme_you_ws_hacked.txt’) diletakkan di direktori yang terkena dampak.
Sumber berita:
