Image credit: Freepix
Dari Makelar Data Menjadi Predator Siber – Dunia keamanan siber sedang memberikan perhatian khusus pada geng peretas RansomHouse.
Berbeda dengan kelompok ransomware lain yang biasanya langsung mengunci data korban, RansomHouse memulai debutnya pada Desember 2021 dengan pendekatan yang unik. Awalnya, mereka tidak memposisikan diri sebagai pembuat virus, melainkan sebagai “makelar data” atau ekstrator data.
Pada masa awal berdirinya, RansomHouse mengklaim bahwa mereka tidak menggunakan virus pengunci (encryptor), melainkan hanya mencuri data dari perusahaan yang memiliki keamanan lemah. Mereka kemudian memeras korban dengan mengancam akan membocorkan data tersebut ke publik jika tidak dibayar.
Namun, seiring berjalannya waktu, kelompok ini berevolusi menjadi operasi Ransomware-as-a-Service (RaaS) yang lengkap, mengembangkan alat otomatisasi canggih, dan kini meluncurkan senjata pengunci data terbaru yang jauh lebih mematikan.
|
Baca juga: Ancaman Karyawan Samaran Deepfake |
Versi Terbaru yang Lebih Canggih
Peneliti keamanan belum lama ini telah berhasil mengungkap varian enkripsi terbaru milik RansomHouse yang diberi nama Mario.
Nama yang terdengar ramah ini sebenarnya menyimpan mekanisme yang sangat destruktif. Berikut adalah alasan mengapa Mario dianggap sebagai ancaman serius:
1. Teknik Penguncian Dua Lapis
Dulu, RansomHouse menggunakan teknik sederhana satu tahap untuk mengunci file. Namun, dalam varian Mario, mereka menggunakan transformasi dua tahap dengan dua kunci keamanan yang berbeda.
Dampaknya:
Data yang dikunci menjadi jauh lebih acak dan mustahil untuk dipulihkan sebagian tanpa kunci asli. Ini memberikan tekanan lebih besar bagi korban saat proses negosiasi tebusan.
2. Strategi “Loncatan” yang Pintar
‘Mario’ tidak mengunci file dari awal sampai akhir secara berurutan (linear). Ia menggunakan matematika kompleks untuk menentukan bagian mana dari file yang akan dikunci secara acak (intermiten).
Dampaknya:
Teknik ini membuat antivirus kesulitan mendeteksi aktivitas virus karena polanya tidak teratur. Selain itu, proses penguncian menjadi jauh lebih cepat, sehingga dalam hitungan menit, ribuan file di server perusahaan bisa lumpuh total.
3. Infrastruktur Perusahaan (VMware ESXi)
Sama seperti pendahulunya, Mario sangat ahli dalam menyerang lingkungan cloud dan server virtual (VMware ESXi). Mereka bahkan memiliki alat otomatis bernama MrAgent yang bisa mengunci banyak server sekaligus hanya dengan satu perintah.
|
Baca juga: Qilin Evolusi Ancaman Siber Lintas Platform |
Jejak Serangan dan Ciri Khas
Baru-baru ini, RansomHouse dilaporkan terlibat dalam serangan terhadap raksasa e-commerce Jepang, Askul Corporation.
Dalam serangan tersebut, peretas menggunakan kombinasi beberapa jenis virus sekaligus untuk memastikan sistem korban benar-benar lumpuh.
Jika sebuah komputer atau server terinfeksi varian Mario, Anda akan melihat ciri-ciri berikut:
- Ekstensi File Berubah: Semua file yang terkunci akan memiliki akhiran .emario.
- Pesan Tebusan: Muncul file teks berjudul How To Restore Your Files.txt di setiap folder yang terinfeksi, berisi instruksi pembayaran tebusan.
Mengapa Ini Mengkhawatirkan?
Unit 42 menyimpulkan bahwa perkembangan RansomHouse menunjukkan tren yang mengkhawatirkan dalam dunia kejahatan siber. Mereka tidak mengejar kuantitas serangan (jumlah korban banyak), melainkan kualitas dan efisiensi.
Dengan senjata Mario, mereka fokus pada bagaimana cara agar virus mereka tidak bisa dibongkar oleh peneliti keamanan (anti-reverse engineering) dan bagaimana cara melumpuhkan perusahaan besar secepat mungkin.
Tips Melindungi Diri dan Perusahaan
- Cadangan Data (Backup) Offline: Jangan hanya mengandalkan cloud backup. Pastikan ada cadangan data yang tidak terhubung ke jaringan utama agar tidak ikut terinfeksi.
- Update Sistem Server: Segera lakukan patching pada sistem VMware dan server lainnya, karena RansomHouse sangat suka mencari celah pada infrastruktur lama.
- Waspadai Akses Jarak Jauh: Gunakan Autentikasi Dua Faktor (MFA) yang sangat kuat untuk akses VPN atau Remote Desktop.
- Edukasi Karyawan: Ransomware sering masuk melalui email phising. Pastikan staf Anda tahu cara mengenali email yang mencurigakan.
Sumber berita:
