Sodinokibi, Ransomware Belis Paling Menakutkan

Apa yang paling menakutkan bagi bisnis di dunia siber? Ransomware. Mahluk satu ini terus berevolusi, meregenerasi dengan meningkatkan kemampuannya, merangkak, merayap dengan sigap lalu menyergap korbannya dengan cepat, tanpa disadari meluluhlantakkan semua, meninggalkan penyesalan panjang, uang melayang, data pun hilang.

Belis siber menakutkan ini punya wujud baru bernama ransomware Sodinokibi, berdasar telemetri ESET ransomware ESET sebagai Win32/Filecoder.Sodinokibi ini pertama kali terlihat pad akhir April 2019. Sodinokibi adalah ransomware jahat yang telah diluncurkan untuk mencari Managed Service Providers (MSP) dan pelanggan mereka. Dan tidak main-main, ransomware ambisisus ini menargetkan seluruh bisnis si seluruh dunia sebagai targetnya.

Banyak berita utama pada tahun 2019 menunjukkan hal yang sama, ransomware Sodinokibi membobol sistem IT dari sejumlah MSP besar, seperti LogicalNet, PerCSoft, The Digital Dental Record, dan Layanan Konsultasi TSM bersamaan dengan banyak pelanggan mereka. Aktor-aktor antagonis di balik serangan sering menargetkan MSP untuk mengambil keuntungan dari akses istimewa mereka ke sistem TI pelanggan dan menyebarkan malware dalam sekali serangan.

Dari apa yang diamati oleh para peneliti ESET, pelaku ancaman di belakang Sodinokibi menyukai penggunaan alat otomatis seperti eksploit kit atau spam untuk mendistribusikan ransomware mereka, daripada teknik yang lebih manual seperti pembajakan komputer yang biasa masuk melalui jalur terbuka seperti Remote Desktop Protocol (RDP).

Umumnya pengembang ransomware mengirim malware ke komputer melalui spam email, yang berisi tautan berbahaya atau lampiran yang bila diklik menjadi jalan masuk perangkat lunak seperti ransomware dan spyware untuk menginfeksi komputer yang

Email spam adalah vektor umum untuk mengirimkan malware ke komputer. Email semacam itu dapat berisi tautan jahat atau lampiran yang membuka jalan bagi perangkat lunak jahat seperti ransomware dan spyware untuk dijalankan di komputer yang terpengaruh teridap.

Lain ceritanya dengan Sodinokibi, modus serangan yang diterapkan lebih canggih, eksploit kit yang digunakan merupakan paket malware all in one yang di-host di situs web yang disusupi dan dapat memindai perangkat pengunjung situs web mencari kerentanannya. Eksploit kit sering mencari kelemahan dalam komponen perangkat lunak seperti Adobe Flash Player, Java Runtime Environment, JavaScript atau Microsoft Silverlight untuk melakukan serangan.

Enkripsi Sodinokibi

Enkripsi adalah senjata utama ransomware untuk menawan harta karun yang tersimpan dalam komputer. Dengan mengunci seluruh data yang diincar sehingga tidak memungkinkan untuk diakses, korban dipaksa untuk membayar tebusan. Dalam kasus Sodinokibi, dekripsi data tersandera tidak mungkin dilakukan, hal ini disebabkan oleh kuatnya algoritma enkripsi yang diimplementasikan tanpa kelemahan yang signifikan.

Sodinokibi menggunakan algoritma enkripsi Salsa20/20 untuk mengenkripsi file dan algoritma Advanced Encryption Standard (AES) untuk menghasilkan kunci enkripsi unik untuk setiap file. Karena itu, hanya memiliki satu kunci pribadi memungkinkan Anda untuk mendekripsi hanya satu file yang dienkripsi oleh Sodinokibi. Selanjutnya, kunci enkripsi file pribadi itu sendiri dienkripsi lebih lanjut dengan menggunakan Elliptic Curve Cryptography (ECC).

Pengembang ransomware melindungi kunciannya dengan berlapis untuk menjamin tidak ada yang dapat melakukan penetrasi terhadap ransomware buatannya. Dengan meminimalisir kelemahan ransomware mereka berharap dapat memaksimalkan serangan.

Preventif Sodinokibi

Hasil intelijen yang dikumpulkan oleh telemetri ESET menunjukkan bahwa perangkat yang paling sering diserang oleh Sodinokibi sering kali salah mengonfigurasi atau menggunakan perangkat lunak keamanan yang sudah tidak di-update.

Untuk bisnis, sangat penting untuk menerapkan praktik keamanan terbaik di seluruh infrastruktur TI mereka. Menggunakan dashboard manajemen jarak jauh, seperti konsol ESET Security Management Center (ESMC), administrator TI dapat dengan mudah dan cepat mendorong pembaruan perangkat lunak keamanan, memantau pelaksanaan proses dan file yang mencurigakan dan/atau dilarang, serta melakukan lebih banyak deteksi yang kuat melalui fine tuning dari mesin pembelajaran, firewall, antispam, dan modul Host-based Intrusion Prevention System (HIPS) hadir dalam produk keamanan endpoint ESET.

Dalam menghadapi penargetan saat ini oleh Sodinokibi, MSP dan SMB diminta untuk melihat lagi pertahanan ransomware mereka dan lebih memahami faktor-faktor yang menyebabkan kompromi oleh ransomware. Bisnis dapat mengikuti daftar rekomendasi yang dirinci di sini

Anti ransomware

Selain menerapkan kebijakan 2FA, tinjau poin-poin berikut untuk membangun pertahanan yang lebih baik untuk MSP Anda:

1. Gunakan Plugin Direct Endpoint Management untuk menyederhanakan fungsi administrasi keamanan di lingkungan klien Anda.

2. Nonaktifkan atau ubah port default untuk RDP pada mesin yang tidak memerlukan protokol ini.
   Untuk mesin yang membutuhkan RDP berjalan, gunakan kata sandi kuat atau pass phrase untuk melindungi solusi keamanan yang diinstal pada semua titik akhir. Ini akan mencegah peretas mencopot pemasangan atau menonaktifkan perlindungan titik akhir.

3. Gunakan kata sandi yang berbeda dari kredensial masuk RDP untuk melindungi solusi keamanan Anda.

4. Terapkan solusi cadangan untuk semua data penting, termasuk setidaknya satu cadangan offline.