Dalam 6 bulan terakhir sebuah ransomware bergerak dengan cepat dan menyebar luas ke berbagai sektor, namun uniknya hanya menggunakan taktik standar dalam serangannya. Operator dari ransomware yang dijuluki ProLock ini sepertinya memang mengincar banyak korban.
Kerja keras operator ProLock seperti ingin menebus kegagalan mereka di tahun 2019, yang saat itu bernama PwndLocker, karena bug kripto yang memungkinkan membuka file secara gratis, operator melakukan boot ulang dengan memperbaiki kesalahan dan mengganti nama malware menjadi ProLock.
Ransomware yang dideteksi ESET sebagai Win32/Filecoder.PwndLocker.A tersebut sejak awal pelaku memang sudah menetapkan standar tinggi untuk korbannya, menargetkan jaringan perusahaan dan menuntut tebusan antara $175.000 hingga lebih dari $660.000 atau jika dirupiahkan senilai 2,6 miliar sampai dengan 9,8 miliar.
Taktik standar mematikan
Pelaku tidak memiliki preferensi terhadap target atau sektor kegiatannya selama mereka adalah perusahaan dengan jaringan besar dan mampu membayar tebusan yang tinggi. Sejauh ini, fokus tampaknya tertuju pada bisnis, jelasnya pada perusahaan-perusahaan besar.
Selama setengah tahun terakhir, terdeteksi lebih dari 150 operasi ProLock, korban terbaru diminta 225 Bitcoin, lebih dari $2,3 juta pada nilai saat ini.
Taktik, teknik, dan prosedur grup ini sederhana dan efektif, kemitraan dengan trojan perbankan QakBot (QBot) memungkinkan mereka untuk memetakan jaringan, bergerak secara lateral, dan pada akhirnya menyebarkan ransomware.
Antara kompromi awal dan menjalankan rutinitas enkripsi file, pelaku menghabiskan sekitar satu bulan di jaringan, mengumpulkan informasi untuk penargetan yang lebih baik dan data exfiltrasi (melalui Rclone).
Menjalankan ProLock di jaringan target adalah langkah terakhir serangan, yang biasanya dimulai dengan email spear phising yang berisi VBScripts yang dipersenjatai dan dokumen Office yang mengirimkan QakBot, seringkali melalui balasan di utas email yang dibajak.
Berkali-kali juga diketahui VBScript digunakan untuk mengunduh QakBot dalam jumlah sangat besar, bahkan hingga mencapai 40MB, untuk melewati solusi keamanan yang biasanya tidak melakukan pemindaian untuk file besar.
Setelah berada di host target, QakBot menetapkan persistensi dan memastikan bahwa pertahanan aktif tidak menemukannya dengan memodifikasi Windows Registry untuk menambahkan binernya pada daftar pengecualian Windows Defender.
QakBot juga mengumpulkan banyak informasi tentang host yang terinfeksi, termasuk alamat IP, nama host, domain, dan daftar program yang diinstal. Berkat informasi ini, pelaku memperoleh pemahaman dasar tentang jaringan dan dapat merencanakan kegiatan pasca eksploitasi.
Dengan alat seperti Bloodhound dan ADFind, pelaku ancaman membuat profil lingkungan untuk mendistribusikan trojan perbankan ke host lain di jaringan. Dalam beberapa kasus, ini dilakukan secara manual menggunakan PsExec, menunjukkan koneksi yang kuat antara operator ProLock dan QakBot.
Bergerak secara lateral juga melibatkan penggunaan desktop jarak jauh (RDP), dan ketika ini tidak tersedia di mesin, aktor menjalankan skrip batch berikut melalui PsExec untuk mengaktifkan koneksi jarak jauh.
Perangkat ProLock mencakup alat pasca eksploitasi Mimikatz untuk penguji penetrasi, yang disebarkan melalui perangkat lunak Cobalt.
Ditemukan juga bahwa pelaku ransomware terkadang mengandalkan kerentanan di Windows (CVE-2019-0859) yang memungkinkan mereka untuk meningkatkan privilege atau hak istimewa pada sistem yang disusupi.
Menurut laporan terakhir, malware pengenkripsi file mendarat di host baik melalui QakBot, diunduh dengan Background Intelligent Transfer Service (BITS) dari server pelaku atau dengan menjalankan skrip menggunakan Windows Management Instrumentation (WMIC) pada host jarak jauh.
Meskipun menggunakan alat standar, serangan ProLock sebagian besar tetap tidak terdeteksi di jaringan, memberi mereka waktu untuk mempersiapkan tahap enkripsi file dan mencuri data.
Serangan dari aktor ancaman ini semakin intensif akhir-akhir ini, menyebabkan FBI merilis dua Peringatan FLASH tentang aktor ini tahun ini. Yang pertama, agensi memperingatkan bahwa alat dekripsi ProLock dapat menyebabkan kehilangan data karena tidak berfungsi dengan baik sepanjang waktu.
ESET sudah pernah berhadapan dengan ProLock sebelumnya memiliki penangkal untuk menghadapi ransomware berbahaya ini. Selain itu, ada teknologi lain yang disarankan, yakni menggunakan NTA atau Network Traffic Analysis seperti GREYCORTEX.
GREYCORTEX mendeteksi semua lalu lintas yang hilir mudik dan keluar masuk ke dalam jaringan perusahaan, tida ada anomali sekecil apa pun terlewat dari pemindaiannya. Dengan mampu mendeteksi kehadiran awal sebuah ancaman, akan memberi waktu bagi perusahaan menanggulangi serangan sebelum itu terjadi.