Pembasmi Vampir Itu Kini Ransomware

Van Helsing yang ini bukanlah pembasmi vampir populer yang pernah diperankan oleh Hugh Jackman tetapi ancaman siber yang dikenal sebagai ransomware VanHelsing, pembasmi vampir itu kini ransomware.

Operasi ransomware as a service (RaaS) multi-platform baru bernama VanHelsing telah muncul, menargetkan sistem Windows, Linux, BSD, ARM, dan ESXi.

VanHelsing pertama kali dipromosikan di platform kejahatan dunia maya bawah tanah pada tanggal 7 Maret, menawarkan afiliasi berpengalaman tiket gratis untuk bergabung sambil mewajibkan setoran sebesar $5.000 dari pelaku ancaman yang kurang berpengalaman.

VanHelsing

Analis keamanan siber melaporkan bahwa VanHelsing adalah proyek kejahatan dunia maya Rusia yang melarang penargetan sistem di sistem di negara-negara CIS (Commonwealth of Independent States).

Afiliasi diizinkan menyimpan 80% dari pembayaran tebusan sementara operator mengambil potongan 20%. Pembayaran ditangani melalui sistem escrow otomatis yang menggunakan dua konfirmasi blockchain untuk keamanan.

Afiliasi yang diterima mendapatkan akses ke panel dengan otomatisasi operasional penuh, sementara ada juga dukungan langsung dari tim pengembangan.

File yang dicuri dari jaringan korban disimpan langsung di server operasi VanHelsing, sementara tim inti mengklaim bahwa mereka melakukan uji penetrasi rutin untuk memastikan keamanan dan keandalan sistem terbaik.

Saat ini, portal pemerasan VanHelsing di web gelap mencantumkan tiga korban, dua di AS dan satu di Prancis. Salah satu korban adalah sebuah kota di Texas, sementara dua lainnya adalah perusahaan teknologi.

Operator ransomware mengancam akan membocorkan file yang dicuri dalam beberapa hari mendatang jika tuntutan finansial mereka tidak dipenuhi. Menurut penyelidikan, itu adalah pembayaran tebusan sebesar $500.000.

Mode siluman

Ransomware VanHelsing ditulis dalam C++, dan bukti menunjukkan bahwa ransomware ini pertama kali disebarkan di alam liar pada tanggal 16 Maret.

VanHelsing menggunakan algoritma ChaCha20 untuk enkripsi file, menghasilkan kunci simetris 32-byte (256-bit) dan nonce 12-byte untuk setiap file.

Nilai-nilai ini kemudian dienkripsi menggunakan kunci publik Curve25519 yang tertanam, dan pasangan kunci/nonce terenkripsi yang dihasilkan disimpan dalam file terenkripsi.

VanHelsing mengenkripsi sebagian file yang berukuran lebih besar dari 1GB, tetapi menjalankan proses penuh pada file yang lebih kecil.

Malware ini mendukung kustomisasi CLI yang kaya untuk menyesuaikan serangan per korban, seperti:

• Menargetkan drive dan folder tertentu.
• Membatasi cakupan enkripsi.
• Menyebar melalui SMB.
• Melewati penghapusan salinan bayangan.
• Dan mengaktifkan mode siluman dua fase.

Dalam mode enkripsi normal, VanHelsing menghitung file dan folder, mengenkripsi konten file, dan mengganti nama file yang dihasilkan dengan menambahkan ekstensi ‘.vanhelsing’.

Dalam mode siluman, ransomware memisahkan enkripsi dari penggantian nama file, yang cenderung tidak memicu alarm karena pola I/O file meniru perilaku sistem normal.

Bahkan jika alat keamanan bereaksi pada awal fase penggantian nama, pada tahap kedua, seluruh kumpulan data yang ditargetkan akan dienkripsi.

Kelemahan VanHelsing

Sementara VanHelsing tampak canggih dan berkembang pesat, peneliti menemukan beberapa kelemahan yang menunjukkan ketidakmatangan kode.

Ini termasuk ketidakcocokan dalam ekstensi file, kesalahan dalam logika daftar pengecualian yang dapat memicu proses enkripsi ganda, dan beberapa tanda baris perintah yang tidak diterapkan.

Meskipun terdapat kesalahan, VanHelsing tetap menjadi ancaman yang mengkhawatirkan dan muncul yang dapat segera mulai mendapatkan perhatian.

Sumber berita:

WeLiveSecurity