Musuh terbesar dunia maya adalah kejahatan siber, tapi pemeran utama di balik kerusakan ini adalah ransomware. Ransomware merupakan komponen penting yang menjadi bagian di hampir setiap serangan siber, malware pemeras ini tidak pernah ditinggalkan oleh para peretas kegelapan.
Tahun baru selalu membawa harapan untuk hidup yang lebih baik, namun harapan bisa milik siapa saja, orang baik begitu juga orang jahat seperti penjahat siber. Dan harapan di dunia kejahatan siber bisa berupa ransomware baru, ransomware pertama tahun baru ini yang ingin ESET bahas kali ini
Tidak perlu menunggu lama bagi dunia kejahatan siber untuk menyambut tahun baru dengan malware baru. Teror wajah baru ini bernama Babuk Locker yang menargetkan korban perusahaan dalam serangan yang dioperasikan oleh manusia.
Babuk Locker adalah operasi ransomware baru yang diluncurkan pada awal 2021 dan sejak itu mereka melumpuhkan sejumlah korban dari seluruh dunia. Dari negosiasi tebusan dengan korban yang diketahui, pelaku di balik Babuk Locker tidak tanggung-tanggung memeras korban dengan jumlah uang berkisar $60.000 hingga $85.000 dalam Bitcoin.
Enkripsi Babuk Locker
Setiap file executable Babuk Locker yang dianalisis telah disesuaikan per korban untuk memuat ekstensi hardcode, catatan tebusan, dan URL korban Tor.
Menurut peneliti keamanan yang juga menganalisis ransomware baru, pengkodean Babuk Locker adalah amatiran tetapi menyertakan enkripsi aman yang mencegah korban memulihkan file mereka secara gratis.
Terlepas dari praktik pengkodean amatir yang digunakan, skema enkripsi yang kuat yang menggunakan algoritma Diffie-Hellman kurva-eliptik telah terbukti efektif dalam menyerang banyak perusahaan sejauh ini.
Saat diluncurkan, pelaku ancaman dapat menggunakan baris perintah untuk mengontrol bagaimana ransomware harus mengenkripsi pembagian jaringan dan apakah mereka harus dienkripsi sebelum sistem file lokal. baris perintah yang mengontrol perilaku ini tercantum di bawah ini:
-lanfirst
-lansecond
-nolan
Setelah diluncurkan, ransomware akan menghentikan berbagai layanan dan proses Windows yang diketahui menjaga file tetap terbuka dan mencegah enkripsi. Program yang dihentikan termasuk server database, mail server, perangkat lunak cadangan, mail client, dan browser web.
Saat mengenkripsi file, Babuk Locker akan menggunakan ekstensi hardcode dan menambahkannya ke setiap file terenkripsi. Ekstensi hardcode saat ini yang digunakan untuk semua korban sejauh ini adalah .__ NIST_K571__.
Catatan tebusan bernama How To Restore Your Files.txt akan dibuat di setiap folder. Catatan tebusan ini berisi informasi dasar tentang apa yang terjadi selama serangan dan tautan ke situs Tor di mana korban dapat bernegosiasi dengan operator ransomware.
Salah satu catatan tebusan yang diketahui berisi nama korban dan tautan ke gambar yang membuktikan bahwa pelaku mencuri file yang tidak dienkripsi selama serangan itu.
Situs Babuk Locker Tor bukanlah situs yang mewah dan hanya berisi layar obrolan di mana korban dapat berbicara dengan pelaku ancaman dan menegosiasikan uang tebusan. Sebagai bagian dari proses negosiasi, operator ransomware menanyakan korbannya apakah mereka memiliki asuransi dunia maya dan bekerja sama dengan perusahaan pemulihan ransomware.
Operator ransomware juga akan meminta korban untuk file %AppData%\ecdh_pub_k.bin, yang berisi kunci publik ECDH korban yang memungkinkan pelaku untuk melakukan uji dekripsi file korban atau menyediakan dekripsi.
Sayangnya, penggunaan ransomware dengan enkripsi ChaCha8 dan Elliptic-curve Diffie – Hellman (ECDH) membuat ransomware tidak dapat didekripsi secara gratis.
Forum peretas untuk bocorkan data yang dicuri
Taktik ransomware yang umum adalah mencuri data yang tidak dienkripsi dari korban sebelum mengenkripsi perangkat jaringan. Pelaku menggunakan data yang dicuri dalam strategi pemerasan ganda, di mana mereka mengancam akan membocorkan data jika tidak ada uang tebusan.
Sebagian besar operasi ransomware yang menggunakan taktik ini telah membuat situs kebocoran data ransomware publik untuk menerbitkan data yang dicuri.
Namun, Babuk Locker saat ini menggunakan forum peretas untuk membocorkan data mereka yang dicuri. Babuk Locker saat ini memiliki lima korban yang diketahui dari seluruh dunia, termasuk:
Perusahaan elevator dan eskalator
Produsen furniture kantor
Produsen suku cadang mobil
Produsen produk pengujian medis
Perusahaan AC dan pemanas di AS
Setidaknya satu dari korban telah setuju untuk membayar uang tebusan sebesar $85.000. Dalam postingan di forum peretas, perwakilan Babuk Locker menyatakan bahwa mereka akan segera meluncurkan situs kebocoran khusus.
Bagi pengguna ESET tidka perlu khawatir dengan ancaman dari ransomware Babuk Locker karena produk ESET mengenali ransomware ini sebagai Win32/Filecoder.NHQ sehingga dengan sendirinya semua perangkat yang berada dalamlindungan ESET aman dari Babuk Locker
