ESET sedari awal sudah memprediksi tentang tren distribusi serangan menggunakan RaaS jelang akhir tahun 2016. RaaS digemari penjahat siber karena kemudahan dalam penggunaannya, apalagi dengan pembagian hasil yang menguntungkan operator, membuat sistem ini menjadi favorit di dunia bawah tanah.
Umumnya RaaS digunakan untuk menyerang komputer yang menggunakan mesin Windows, tapi belum lama ini muncul dua jenis malware Mac ditemukan dijajakan melalui portal Malware as a Service (MaaS) di dark web selama dua minggu terakhir.
Portal tersebut dijalankan pada 25 Mei. Situs pertama diberi nama MacSpy menjajakan spyware Mac, sedangkan yang kedua diberi nama MacRansom dan menyewakan ransomware dalam skema RaaS klasik. ESET melihat ini sebagai suatu hal yang cukup unik, bagaimana Mac dijajakan seperti RaaS.
Kedua portal sepertinya dibuat oleh orang yang sama, karena bila diperhatikan dengan seksama kedua situs memiliki kesamaan. Kedua situs dijalankan secara tertutup, artinya peminat harus menghubungi pengembang malware untuk mendapatkan paket demo dan menegosiasikan harga.
MacRansom Belum sempurna
MacRansom dan MacSpy yang ditawarkan seperti RaaS bila dipelajari dan teliti lebih dalam, masih memiliki beberapa kekurangan yang membuat kualitasnya masih terbilang buruk. Bisa disimpulkan bahwa pengembang malware belum berpengalaman terutama dalam kode yang dikembangkannya.
Berikut beberapa kelemahan pada MacRansom:
- Pengembang ransomware Mac harus menyetujui setipa klien, menegosiassikan biaya dan secara manual membuat sampel ransomware, meninggalkan tujuan awal RamaS yang ingin
- menyederhanakan semua sehingga segala sesuatu berjalan dengan efektif.
- Ransomware menggunakan enkrpsi Symmetric, dengan kunci enkripsi termasuk di dalam source code ransomware.
Salah satu kunci enkripsi diacak dengan nomor acak dan dimasukkan dari memori setelah proses enkripsi berakhir. Ini artinya, ransomware kehilangan satu dari dua kunci enkripsi. - Ransomware tidak berkomunikasi dengan server C2, berarti pengembang malware tidak mungkin dapat mendekripsi file yang terenkripsi.
Pengembang malware juga tidka melengkapi ransomware dengan panel pembayaran berbasis Tor, malah mengharuskan korban menghubungi penyewa/operator melalui email. - File ransomware tidak ditandatangani secara digital, artinya akan memicu peringatan keamanan saat dijalankan pada instalasi macOS standar.
MacSpy
Pengembang malware MacSpy diduga melakukan copy-paste dari Stack Overflow.
Payload Spyware tidak ditandatangani secara digital, artinya hal ini akan memicu peringatan keamanan saat dijalankan dalam instalasi MacOS standar.
Secara keseluruhan MacSpy lebih baik dalam pengkodean, namun pengguna Mac harus lebih berhati-hati dengan MacRansom karena ransomware berpotensi merusak file secara permanen. Kedua malware saat ini terlihat tidak sedang terlibat atau berjalan dalam sebuah distribusi aktif, dan sepertinya malware ini aktif karena kesalaha prosedur dari para pengembangnya, muncul saat belum waktunya diluncurkan sehingga masih banyak kekurangan.
Mac dan iPhone dalam Ancaman
Bila menelaah lebih lanjut MacRansom tidak terlihat kompleks terlihat dari bagaimana ransomware menggunakan pemeriksaan sangat mendasar pada mesin virtual. Jadi kemungkinan besar ransomware ini tidak akan beredar di internet, kecuali pengembangnya melakukan perbaikan di mana hal tersebut tidaklah mudah apalagi source code mereka sudah terpapar.
Namun, yang perlu kita waspadai bersama adalah makin berkembangnya RaaS Mac atau Ransomware as a Service yang mengincar komputer bermesin Mac. Hal ini disebabkan oleh pasar Mac yang dari tahun ke tahun terus meningkat, tentu akan mengundang banyak pengembang ransomware beraksi di platform ini.
Belum lagi ada pergeseran ideologis untuk pengguna Mac dan iPhone karena lebih friendly sistem operasi untuk orang tua. Sementara kita menyadari bahwa banyak orang tua yang lemah dalam hal teknis terutama pada penggunaan smartphone, kondisi ini semakin menguatkan sinyal kemungkinan Mac dan iPhone di masa depan akan menjadi target utama serangan siber.
Ancaman ini didukung oleh data di mana dalam setahun terakhir telah muncul malware terutama ransomware Mac yang tumbuh dan berkembang dari hanya sekedar sebuah demo menjadi ancaman serius yang membahayakan seperti Keranger dan Patcher atau Ransom32 yang dikenal sebagai ransomware multi platform yang juga berfungsi sebagai RaaS dan ikut mengincar pengguna Mac
Terus meningkatnya jumlah pengguna Mac berbanding lurus dengan meningkatnya jumlah malware yang menargetkan Mac. Peluncuran portal MaaS, meski sulit digunakan dan dilakukan dengan MacSpy dan MacRansom, akan mendorong lebih banyak penjahat ke userbase Mac, tapi juga akan menurunkan area masuk untuk beberapa individu dan grup yang tidak memiliki pengalaman sebelumnya dalam pembuatan malware Mac.
Sumber berita:
https://www.bleepingcomputer.com/
https://blog.fortinet.com/
