Mengupas Ryuk, Ransomware Pembawa Catatan Kematian

Awalnya ransomware ini diremehkan untuk dapat menjadi besar dan kuat, kehadirannya diprediksi hanya sekedar meramaikan hype di dunia siber.

Bergulat dengan waktu, anomali yang tadinya tidak dianggap, ransomware yang dijuluki Ryuk berubah menjadi sosok menakutkan di antara ransomware lainnya, mengguncang dunia dengan berbagai aksinya.

Sistem perpusatakaan, pusat kesehatan, surat kabar, sekolah dan berbagai institusi dan bisnis menjadi korban kekejaman Ryuk sejak pertama kali kemunculannya di tahun 2018 yang dianggap sebagai ancaman tingkat rendah sampai ia meraih prestasi kelamnya sendiri hingga disebut sebagai ancaman tingkat atas di tahun 2019.

Awal kehidupan keluarga ransomware Ryuk dimulai pada Agustus 2018, di mana ESET menjuluki malware ini sebagai “Win32/Filecoder.NRY.”

Deteksi jenis ransomware ini dalam telemetri ESET secara singkat memuncak pada November 2018, tetapi secara keseluruhan deteksinya tetap rendah. Meski begitu, dampak yang diberikan Ryuk tetap menghancurkan.

Lihainya Ryuk

Nama Ryuk mengingatkan kita dengan nama karakter dalam manga dan film live action-nya yang sukses, Death Note, yang tentu saja hanya fantasi yang tidak akan memberi dampak secara nyata pada kehidupan keseharian kita seperti di dunia maya.

Tidak seperti Ryuk dalam wujud ransomware yang benar-benar membawa catatan kematian bagi korbannya.

Ransomware Ryuk mulai mendapatkan reputasi buruk setelah setidaknya menyerang lima bisnis dalam bulan pertama kedatangannya.

Salah satu ciri khas Ryuk adalah bahwa siapa pun yang melihatnya pertama kali dapat dengan mudah disesatkan untuk mengira ia sebagai keluarga ransomware Hermes.

Kelihaian Ryuk tersebut dengan membuat seluruh file yang dienkripsi bahkan sampai hari ini menggunakan string “HERMES” di footer, mengacaukan siapa saja yang melihatnya.

Sementara tren deteksi sedikit meningkat dari Mei 2019, ancaman yang jauh lebih besar terletak pada bentuk Ryuk yang berbeda.

Ryuk tampaknya telah dikompilasi ulang sebagai versi 64-bit baru yang disebut oleh ESET “Win64/Filecoder.Ryuk” setelah sebelumnya di bulan April ESET mengganti nama malware ini dengan Win32/Filecoder.Ryuk”. Lahir pada Maret 2019, versi baru Ryuk ini perlahan-lahan naik ke titik tertinggi dalam jumlah deteksi pada September 2019

Ryuk 64-bit menargetkan sekitar tujuh kali lebih banyak pengguna di puncaknya dibandingkan dengan saudara 32-bitnya.

Sejak saat kelahirannya, pertumbuhan “Win64/Filecoder.Ryuk” terjadi secara bertahap. Bisa jadi pertumbuhan bertahap ini menunjukkan bahwa aktor di balik Ryuk fokus pada target yang lebih tinggi seperti bisnis atau organisasi besar lainnya daripada pengguna rumahan.

Penargetan Ryuk yang diketahui dari berita utama, di antaranya adalah perusahaan seperti Virtual Care Provider, National Veterinary Associates, dan CloudJumper, dan banyak lagi.

Enkripsi Ryuk

Ryuk mengambil keuntungan dari native CryptoAPI yang dibangun di dalam sistem operasi Windows untuk menghasilkan kunci enkripsi AES-256 yang unik per file. Karena AES adalah sandi enkripsi simetris, korban akan memerlukan akses ke setiap kunci untuk dekripsi yang berhasil dari semua file.

Namun, mendapatkan kunci file itu tidak mungkin. Kunci file itu sendiri dienkripsi oleh kunci publik RSA – tanpa cacat implementasi yang signifikan – yang telah dikemas penulis Ryuk ke dalam malware yang dapat dieksekusi.

RSA adalah sandi enkripsi asimetris yang menggunakan pasangan kunci publik-privat, apa pun yang dienkripsi oleh kunci publik hanya dapat didekripsi oleh kunci privat. Itu berarti hanya pelaku yang memiliki kunci pribadi RSA yang dapat mendekripsi dan memberikan akses ke kunci file korban.

Menghentikan serangan ransomware

Untuk bisnis, ada sejumlah opsi khusus untuk mengatasi ransomware yang dapat membantu melindungi sistem dan jaringan dari serangannya.

Satu pemeriksaan penting adalah memastikan bahwa semua solusi keamanan yang digunakan di jaringan Anda sudah terkonfigurasi dengan benar.

Sebagai contoh, ESET Endpoint Security, ESET Endpoint Antivirus, ESET Mail Security untuk Microsoft Exchange dan ESET File Security untuk Microsoft Windows Server semuanya dilengkapi dengan lapisan keamanan yang dapat dikonfigurasi yang disebut ESET Host-based intrusion prevention system (HIPS).

HIPS memonitor aktivitas sistem dan menggunakan seperangkat aturan yang telah ditentukan untuk mengidentifikasi dan mencegah perilaku mencurigakan untuk bekerja.

Admin TI selanjutnya dapat memanfaatkan kemampuan HIPS dengan menerapkan pengaturan konfigurasi yang lebih ketat terhadap perilaku seperti ransomware di titik akhir.

Mengikuti pedoman anti-ransomware di ESET Knowledgebase, admin dapat menambahkan aturan khusus untuk mencegah eksekusi skrip tertentu, proses Microsoft Office dan proses umum lainnya, seperti explorer.exe, rundll32.exe dan powershell.exe dari meluncurkan aplikasi atau proses tertentu yang tidak biasanya diperlukan oleh karyawan tertentu.

Kecuali jika ada alasan bisnis yang bagus misalnya untuk karyawan yang bekerja sebagai developer program. Tidak semua karyawan perlu menjalankan setiap jenis skrip atau yang dapat dieksekusi pada perangkat mereka.

Karyawan yang tidak memerlukan tambahan skrip/executable ini dapat dengan cepat dikelompokkan dalam ESET Security Management Center, alat manajemen jarak jauh ESET, untuk manajemen kebijakan yang lebih ketat dari modul HIPS. Admin TI juga dapat menerapkan aturan anti-ransomware serupa dalam modul firewall dan antispam produk endpoint ESET.