Duo RaaS Rusia dan Kekuatiran Ancaman Siber

Dalam waktu yang berdekatan di dunia bawah tanah beredar dua Ransomware as a Service (RaaS) yang disewakan dengan harga cukup murah. Kehadiran keduanya patut dikuatirkan apalagi pengembang RaaS berasal dari Rusia, salah satu negara yang paling produktif memproduksi ransomware berbahaya.

RaaS FrozrLock

Ransomware as a Service pertama yang muncul di Dark Web, bernama FrozrLock, disewakan hanya dengan harga $220 atau setara dengan 2,9 juta rupiah, diiklankan menggunakan tagline “alat keamanan hebat yang mengenkripsi sebagian besar file Anda dalam beberapa menit.”

Ransomware ini awalnya diketahui pada bulan April, deteksi pertama berasal dari Rusia, menyebar melalui JS downloader yang diberi nama Contract_432732593256.js, saat itu ransomware masih belum memiliki nama, tapi sebagian pengamat menyebutnya AutoDecrypt berdasar nama decrypter-nya.

Dari iklan yang mereka jajakan FrozrLock dikodekan dengan C# menggunakan enkripsi Twofish256, AES256, dan RSA4096 dengan control panel berbasis di Tor untuk menyulitkan pelacakan pihak berwenang dan ahli keamanan teknologi. Ransomware ini juga punya kemampuan menghapus dirinya sendiri saat pembayaran telah dilakukan.

Bagi mereka yang tertarik dengan penawaran ini harus mendaftar pada situs tersebut untuk mendapatkan akses ke akun. Begitu menperoleh akun, mereka diberi akses ke interface builder berbasis web ransomware. Untuk menggunakan builder dan membuat ransomware yang berfungsi sepenuhnya, klien harus membayar lisensi seharga 2,9 juta.

Evolusi ransomware juga dicatat dalam changelog yang tampak profesional. Homepage mencantumkan nama FILE FROZR, namun begitu pengguna mendaftar dan membeli lisensi, dasbor menampilkan nama FrozrLock sebagai gantinya.

Dari dasbor, pengguna FrozrLock dapat memantau infeksi ransomware. Layanan ini juga memberi konsumen decrypter yang bisa mereka berikan untuk membayar korban. Decrypter memiliki tiga mode operasi: manual otomatis, manual, dan manual alternatif.

RaaS Fatboy

Potal Ransomware as a Service (RaaS) lain yang juga baru diiklankan di forum bawah tanah dinobatkan dengan nama Fatboy dipromosikan oleh seorang penjahat berbahasa Rusia bernama polnowz, yang sejak 24 Maret lalu menawarkan akses ke layanan ini.

Forum yang biasa digunakan oleh penjahat siber berbahasa Rusia ini terkenal sering dijadikan ajang jual beli berbagai jenis ransomware, tempat berkumpulnya kriminal dunia maya yang sekarang ramai sebagai tempat menjajakan RaaS, tren yang ESET sudah prediksi sejak awal di mana kejahata dunia maya berkolaborasi memanfaatkan RaaS karena kemudahan dalam penggunaannya.

Meskipun tidak menampilkan eksploitasi atau taktik terobosan baru, ransomware Fatboy menonjol terutama oleh wallpaper catatan tebusan, sangat mirip dengan yang digunakan oleh Critroni dan CTB-Locker, dan dengan catatan tebusan HTML yang panjang dan panjang, yang berlipat ganda sebagai petunjuk dan Panduan untuk korban yang terinfeksi.

Tapi mungkin fitur yang paling menonjol adalah bagaimana Fatboy menghitung permintaan tebusan untuk korban yang terinfeksi. Hal ini dilakukan dengan menentukan IP korban, mendeteksi negara tempat IP tersebut berada, dan kemudian menggunakan Big Mac Index untuk menunjukkan jumlah tebusan akhir.

Indeks Big Mac, yang juga dikenal sebagai McDonald’s Index, adalah indeks keuangan yang dibuat oleh The Economist, sebuah surat kabar keuangan, yang menentukan negara-negara berdasarkan daya beli mereka, dengan menganalisis harga Big Mac di setiap negara bagian.

Dua hari kemudian setelah iklan RaaS Fatboy awal, pengguna forum bernama ilcn menawarkan bantuan untuk membungkam layanan RaaS kepada lebih banyak orang, dengan menerjemahkan iklan asli ke dalam bahasa Inggris.

Dalam terjemahan itu terungkap jika Fatboy ditulis dengan bahasa pemrograman C++ dengan dukungan pengembangan cryptolocker, menggunakan enkripsi AES-256 dan RSA-2048 yang menargetkan 5000 ekstensi, pembayaran diarahkan ke wallet bitcoin baru, dilengkapi dengan statistik dan kemampuan menghapus dirinya sendiri jika pembayaran telah dilakukan. Tapi, yang menyeramkan ancaman menghapus seluruh file jika korban tidak membayar sampai batas waktu yang ditentukan.

Iklan tersebut tidak mencantumkan persentase pembagian keuntungan yang didapat dari masing-masing korban, namun tidak seperti portal RaaS lainnya yang membayar potongan ini nanti, pemilik Fatboy menyombongkan pembayaran pada hari yang sama, sebuah tawaran yang sangat menarik sebagian besar potensi Klien.

Distribusi ransomware yang memanfaatkan portal RaaS lebih berbahaya dan patut dikuatirkan jangkauan serangannya, karena siapa pun dari negara mana pun dapat mengoperasikan ransomware semacam ini, disebabkan kemudahahan dalam mekanisme pelaksanaannya membuatnya lebih menakutkan dibandingkan dengan ransomware yang beraksi lone ranger di internet yang punya keterbatasan dalam pola serangan dan wilayah yang disasar tidak akan semasif RaaS.

Tapi mungkin fitur yang paling menonjol adalah bagaimana Fatboy menghitung permintaan tebusan untuk korban yang terinfeksi. Hal ini dilakukan dengan menentukan IP korban, mendeteksi negara tempat IP tersebut berada, dan kemudian menggunakan Big Mac Index untuk menunjukkan jumlah tebusan akhir.

Indeks Big Mac, yang juga dikenal sebagai McDonald’s Index, adalah indeks keuangan yang dibuat oleh The Economist, sebuah surat kabar keuangan, yang menentukan negara-negara berdasarkan daya beli mereka, dengan menganalisis harga Big Mac di setiap negara bagian.

Dua hari kemudian setelah iklan RaaS Fatboy awal, pengguna forum bernama ilcn menawarkan bantuan untuk membungkam layanan RaaS kepada lebih banyak orang, dengan menerjemahkan iklan asli ke dalam bahasa Inggris.

Dalam terjemahan itu terungkap jika Fatboy ditulis dengan bahasa pemrograman C++ dengan dukungan pengembangan cryptolocker, menggunakan enkripsi AES-256 dan RSA-2048 yang menargetkan 5000 ekstensi, pembayaran diarahkan ke wallet bitcoin baru, dilengkapi dengan statistik dan kemampuan menghapus dirinya sendiri jika pembayaran telah dilakukan. Tapi, yang menyeramkan ancaman menghapus seluruh file jika korban tidak membayar sampai batas waktu yang ditentukan.

Iklan tersebut tidak mencantumkan persentase pembagian keuntungan yang didapat dari masing-masing korban, namun tidak seperti portal RaaS lainnya yang membayar potongan ini nanti, pemilik Fatboy menyombongkan pembayaran pada hari yang sama, sebuah tawaran yang sangat menarik sebagian besar potensi Klien.

Distribusi ransomware yang memanfaatkan portal RaaS lebih berbahaya dan patut dikuatirkan jangkauan serangannya, karena siapa pun dari negara mana pun dapat mengoperasikan ransomware semacam ini, disebabkan kemudahahan dalam mekanisme pelaksanaannya membuatnya lebih menakutkan dibandingkan dengan ransomware yang beraksi lone ranger di internet yang punya keterbatasan dalam pola serangan dan wilayah yang disasar tidak akan semasif RaaS.

Sumber berita:

https://www.bleepingcomputer.com
https://www.bleepingcomputer.com