Ancaman Ransomware Baru dengan Taktik Mirip Kelompok APT

Ancaman Ransomware Baru dengan Taktik Mirip Kelompok APT – Kelompok ransomware baru yang dinamai Charon muncul dengan teknik-teknik canggih yang menyerupai Advanced Persistent Threat (APT), menimbulkan risiko signifikan bagi perusahaan.

Kelompok ini menuntut tebusan yang disesuaikan secara khusus, menandai tren yang mengkhawatirkan di mana taktik canggih kini diadopsi oleh pelaku ransomware.

Charon pertama kali terdeteksi dalam serangan yang menargetkan sektor publik dan industri penerbangan. Nama Charon sendiri diambil dari mitologi Yunani.

Yakni mengacu pada tukang perahu yang mengangkut jiwa menyeberangi Sungai Styx menuju Hades, mencerminkan sifat serangan yang membawa data korban menuju kehancuran.

Taktik Canggih Mirip APT

Apa yang membuat Charon berbahaya adalah penggunaan teknik-teknik yang biasanya menjadi ciri khas kelompok APT, seperti:

DLL Sideloading: Memanfaatkan sebuah file Edge.exe yang sah untuk memuat (sideload) sebuah file DLL berbahaya (msedge.dll), yang kemudian menyebarkan payload ransomware Charon.
Process Injection: Menyuntikkan payload ransomware ke dalam proses svchost.exe yang sah, sehingga malware dapat menyamar sebagai layanan Windows dan menghindari deteksi keamanan.
Anti-EDR Capabilities: Kemampuan untuk menghindari deteksi dari solusi keamanan Endpoint Detection and Response (EDR).

Teknik-teknik ini mengingatkan peneliti pada kampanye dari kelompok APT bernama Earth Baxia (juga dikenal sebagai APT41 atau Wicked Panda), yang berafiliasi dengan Tiongkok.

Meskipun demikian, peneliti tidak dapat secara pasti mengaitkan Charon dengan kelompok tersebut karena serangan ini menggunakan catatan tebusan yang disesuaikan untuk setiap korban, yang tidak biasa untuk kelompok APT seperti Earth Baxia.

Rantai Serangan Charon

Ancaman Ransomware Baru dengan Taktik Mirip Kelompok APT — Credit image: Freepix

Rantai serangan Charon menunjukkan betapa canggihnya pelaku ancaman ini. Mereka tahu cara bergerak secara diam-diam dan efisien di dalam jaringan.

Infiltrasi Awal

Serangan dimulai dengan eksekusi biner Edge.exe yang sah, yang disalahgunakan untuk memuat DLL berbahaya.

Dekripsi dan Injeksi

DLL tersebut bertugas mendekripsi payload ransomware yang terenkripsi dan menyuntikkannya ke proses svchost.exe yang baru.

Ekstraksi Payload Bertingkat

Charon juga menggunakan teknik ekstraksi payload bertingkat, di mana sebuah file log yang tampak tidak berbahaya (DumpStack.log) ternyata berisi kode berbahaya (shellcode) yang terenkripsi.

Baca juga: Metode Serangan Phising

Cara Menghadapi Ancaman Ransomware Tingkat Lanjut

Kemunculan Charon menegaskan tren mengkhawatirkan di mana taktik APT diadopsi oleh operator ransomware. Konvergensi ini menimbulkan risiko yang lebih besar bagi organisasi, menggabungkan teknik penghindaran canggih dengan dampak bisnis langsung dari enkripsi ransomware.

Peneliti merekomendasikan pendekatan pertahanan berlapis untuk memerangi taktik ini, terutama untuk melawan DLL sideloading:

Batasi program yang diizinkan untuk berjalan dan memuat DLL, terutama di folder yang sering disalahgunakan seperti direktori aplikasi atau lokasi sementara.
Konfigurasikan peringatan untuk rantai proses yang tidak biasa, seperti Edge.exe yang memicu DLL yang tidak standar atau instans svchost.exe.
Pastikan solusi keamanan EDR dan antivirus memiliki kemampuan untuk mencegah malware mematikan, mengutak-atik, atau menghapus solusi tersebut.
Batasi pergerakan lateral dalam jaringan dengan membatasi akses antara workstation, server, dan folder sensitif.

Dengan taktik yang terus berevolusi, penting bagi setiap organisasi untuk memperkuat pertahanan mereka dan tetap waspada terhadap ancaman yang semakin canggih seperti Charon.

Baca artikel lainnya: