Fenomena Ransomware Baru Bermunculan

Beberapa keluarga ransomware terkenal seperti Babuk, Conti, dan LockBit 3.0 telah menerbitkan atau mengetahui source code ransomware mereka bocor ke domain publik. Menjadi fenomena ransomware baru bermunculan.

Ini memicu peluncuran segudang varian dan keluarga malware baru dengan tumpang tindih kode yang signifikan. Meskipun hal ini membuat semakin mudah bagi para amatir untuk memulai ransomware mereka sendiri, hal ini juga dapat membantu para ahli keamanan TI mendeteksi.

Baca juga: Panduan Ransomware Singkat

Source Code Bocor

Source code untuk Babuk, alias Babyk, adalah contoh utama fenomena ini. Sejak grup tersebut menjadikan kodenya sebagai domain publik pada September 2021, grup tersebut telah menjadi basis masuk yang menonjol untuk jenis ransomware baru.

Apa yang membuatnya menarik bagi penjahat dunia maya adalah kemampuannya untuk menyerang sistem Linux dan VMWare ESXi. Keluarga-keluarga baru terkemuka yang menggunakan Babuk sebagai basis mereka termasuk RAgroup, Nokoyawa, Buhti, dan Rorschach.

Contoh kode lain yang baru-baru ini diterbitkan diduga oleh orang dalam adalah “builder” ransomware LockBit 3.0. Keluarga malware itu sendiri dibangun di atas source code yang bocor sebelumnya, dengan Varian LockBit 3.0 Black and Green didasarkan pada source code Black Matter dan Conti.

Pemain Baru Gaya Baru

Geng ransomware Buhti adalah salah satu pemain baru yang memanfaatkan menerbitkan LockBit 3.0 Black saat membangun varian berorientasi Windows-nya. Kode lama dari LockBit 2.0 juga terlihat bercampur dengan Babuk di keluarga ransomware lain yang muncul bernama Rorschach.

Bahkan catatan tebusan tidak seperti dulu lagi. Saat ini para penjahat siber sering meniru dan menginspirasi satu sama lain, semakin mengaburkan garis antara satu ransomware dan ransomware lainnya.

Pembagian source code dan catatan tebusan serupa mungkin mempersulit pelacakan publik terhadap ransomware, tetapi juga memungkinkan para keamanan TI untuk menggunakan serangkaian deteksi dan aturan yang lebih umum atau terkenal untuk mengidentifikasi aktivitas pelaku. Dengan demikian, penggunaan ini dapat mencakup varian yang lebih luas, termasuk varian yang baru muncul.

Lonjakan Ransomware

Melihat telemetri ESET, deteksi ransomware antara H2 2022 dan H1 2023 meningkat lebih dari 10%. Namun, tren ini dipengaruhi oleh sejumlah besar deteksi Win/Filecoder.BlackBasta yang diamati pada satu hari di satu ruang jaringan di AS. Dengan mengabaikan lonjakan tersebut, jumlah serangan ransomware tetap hampir sama di kedua periode tersebut.

Penting untuk diperhatikan bahwa tren pendeteksian ini hanya mencakup kejadian di mana ESET menemukan ransomware sebagai muatan terakhir. Serangan terdeteksi pada tahap awal – seperti serangan brute-force; eksploitasi kerentanan; salah spam; atau serangan penetes, pengunduh, atau infostealer – bukan bagian dari kumpulan data ransomware.

Baca juga: 3 Fase Serangan Ransomware

PEMAIN BARU PALING BERBAHAYA

Buhti

Keluarga ransomware ini memiliki varian untuk sistem Windows dan Linux, masing-masing dibangun di atas source code bocor yang berbeda. Untuk Windows, ia menggunakan builder LockBit 3.0 yang dimodifikasi dan untuk Linux (dan berpotensi VMWare ESXi) “open source” kode Babuk.

Cactus

Ransomware Cactus mengeksploitasi kerentanan yang diketahui pada perangkat VPN untuk mendapatkan akses awal. Selanjutnya, ia mengekstrak biner ransomware dari arsip 7-Zip yang dilindungi kata sandi, secara efektif menggunakan enkripsi untuk menghindari deteksi. Ini adalah teknik yang diketahui sudah digunakan oleh keluarga WannaCryptor (alias WannaCry) pada tahun 2017.

MalasLocker

Pemain baru yang aneh di arena ransomware adalah MalasLocker. Operatornya menuntut agar korban membayar uang tebusan dalam bentuk sumbangan kepada organisasi nirlaba yang disetujui pelaku.

MoneyBird

Pelaku ancaman yang selaras dengan Iran bernama Agrius sedang menyebarkan varian ransomware palsu baru yang disebut MoneyBird untuk menghancurkan data korban. Ini adalah kelanjutan dari kampanye wiper yang didokumentasikan sebelumnya yang menargetkan korban Israel.

Mortal Kombat

Operator di belakang keluarga malware ini melakukan serangan brute-force terhadap akses desktop jarak jauh yang terbuka di port 3389 dan menerapkannya sebagai bundel dengan clipper yang disebut Laplas.

RAgroup

Ransomware RAgroup didasarkan pada source code Babuk yang bocor, dan menargetkan sebagian besar bisnis di Korea Selatan dan Amerika Serikat. Ini menggunakan enkripsi intermiten, mengenkripsi hanya sebagian dari file yang ditargetkan dan dengan demikian mempercepat proses. Operator RAgroup juga berupaya menjual data yang dicuri melalui situs bocoran mereka.

Rorschach

Rorschach adalah salah satu enkripsi tercepat di pasar ransomware saat ini, dengan penyesuaian tingkat tinggi dan kesamaan dengan Babuk, Lockbit 2.0, Yanlouwang, dan DarkSide.

Trigona

Trigona ransomware menggunakan serangan brute-force terhadap server Microsoft SQL yang terbuka untuk mendapatkan akses dan kemudian menginstal ransomware untuk mengenkripsi data korban.

Baca juga: Enkripsi Intermiten

DITANGKAP/DITUTUP/DEKRIPTOR

DEKRIPTOR: Hive ransomware

Salah satu geng ransomware paling aktif, yang dikenal sebagai Hive, sistemnya disusupi, dan kemudian diganggu oleh agen penegak hukum. Aksi tersebut dipelopori oleh otoritas Jerman, Belanda, dan AS, dengan dukungan dari Europol dan 13 negara. Server Hive dan situs kebocoran dark web disita.

Menurut agensi yang terlibat, penutupan tersebut menghemat kira-kira USD 130 juta sebagai tebusan dan menghasilkan kunci dekripsi untuk korban masa lalu. Tidak ada penangkapan yang dilakukan.

DEKRIPTOR: Phoenix Putih

Mengenkripsi data membutuhkan waktu dan cukup keras untuk menarik perhatian para keamanan TI. Untuk menghindari skenario itu, geng ransomware baru-baru ini mulai menggunakan enkripsi intermiten, hanya mengenkripsi sebagian dari data yang ditargetkan.

Dekriptor baru bernama White Phoenix memanfaatkan pendekatan itu, memulihkan sekumpulan format file terbatas. Meskipun tidak sempurna, dalam beberapa kasus, ini mungkin cukup untuk membantu beberapa korban mendekripsi data kunci dan menghindari pembayaran uang tebusan.

DEKRIPTOR: Ransomware MegaCortex

Pada H1 2023, dekriptor ransomware MegaCortex baru telah dirilis. Alat mandiri ini dapat secara otomatis menemukan dan memulihkan data yang terpengaruh pada sistem korban.

MegaCortex sebagian besar dikenal karena aktivitasnya pada tahun 2019, tetapi menjadi tidak aktif pada tahun 2020. Pada Oktober 2021, Europol menangkap 12 orang yang bertanggung jawab atas 1.800 serangan ransomware yang menyebarkan beberapa jenis ransomware, termasuk MegaCortex.

DEKRIPTOR: ESXiArgs Ransomware

CISA merilis skrip pemulihan untuk ransomware ESXiArgs. Keluarga ini menyebar sebagian besar melalui eksploitasi kerentanan yang diketahui di server VMware ESXi yang belum ditambal, out-of-service, atau out-of-date.

Menurut CISA, pelaku ancaman di balik tekanan tersebut telah mengkompromikan lebih dari 3.800 server secara global, mengenkripsi file konfigurasi mereka sehingga membuat mesin virtual tidak dapat digunakan.

DIHUKUM: Seorang Rusia mengaku bersalah karena membantu Ryuk

Denis Dubnikov, seorang warga negara Rusia yang terlibat dalam pencucian uang untuk ransomware Ryuk, telah dijatuhi hukuman oleh pengadilan AS tanpa hukuman penjara kecuali untuk periode yang telah dia jalani.

Selain itu, Dubnikov harus membayar denda sebesar USD 10.000 dan denda sebesar USD 2.000. Sementara pelanggaran serupa dapat menyebabkan hukuman penjara selama 20 tahun, pengadilan memutuskan untuk membebaskan Dubnikov dengan pembebasan bersyarat setelah pengakuan bersalahnya baru-baru ini.

SANKSI: Afiliasi TrickBot, Ryuk, Conti

Pada bulan Februari, AS dan Inggris mengeluarkan sanksi dunia maya pertama yang bersejarah yang ditujukan pada tujuh individu yang berafiliasi dengan serangan malware TrickBot dan ransomware Ryuk dan Conti.

Akibatnya, properti apa pun dari orang yang terkena sanksi di AS dan Inggris harus diblokir dan dilaporkan ke pihak berwenang. Hal yang sama berlaku untuk semua transaksi antara warga kedua negara dan individu yang ditunjuk.

PENANGKAPAN: Geng DoppelPaymer

Pada bulan Februari, agen penegak hukum menggerebek tiga lokasi di Jerman dan Ukraina, menargetkan dua orang yang dicurigai sebagai anggota inti geng ransomware DoppelPaymer. Tiga surat perintah penangkapan tambahan dikeluarkan oleh otoritas Jerman yang ditujukan pada otak di balik kelompok kriminal.

Di Jerman saja, geng DoppelPaymer menyerang 37 perusahaan termasuk sebuah rumah sakit di Düsseldorf. Para korban AS dari kelompok tersebut diketahui telah membayar setidaknya EUR 40 juta antara 2019 dan 2021.

BOUNTY LockBit, Babuk, Hive

Pihak berwenang AS telah menuntut Mikhail Pavlovich Matveev, penjahat yang memiliki hubungan dengan ransomware LockBit, Babuk, dan Hive, dan yang diyakini beroperasi dari Rusia atas serangan dunia maya terhadap infrastruktur penting.

Hadiah USD 10 juta juga telah dikeluarkan untuk informasi yang akan mengarah pada penangkapannya. Secara keseluruhan, pembayaran tebusan korban kepada ketiga geng tersebut mencapai USD 200 juta, dengan tuntutan uang tebusan dua kali lebih tinggi.

Baca lainnya: