Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • Penunggang Gelap Ransomware Petya
  • Teknologi

Penunggang Gelap Ransomware Petya

2 min read

Credit image: Pixabay

Ransomware Petya sudah kita sangat kenal sejak tahun lalu, kini ransom malware ini kembali dengan beberapa modifikasi yang khusus ditujukan untuk mengincar perusahaan-perusahaan kecil.

Varian Petya terbaru ini dinamakan Petya Wrapping atau PetrWrap, senjata baru bagi penjahat siber untuk meretas jaringan perusahaan kemudian menggunakan Windows PsExec Utility untuk menginstal PetrWrap pada server korban dan endpoint.

PetrWrap sebenarnya versi tidak resmi dari ransomware Petya, namun di balik kehadirannya ada pemain baru yang memodifikasi dan membungkus Petya asli dan menambahkan kode sendiri untuk mengeksekusi serangkaian perintah.

Petya Ransomware sendiri merupakan bagian dari keluarga ransomware Trifecta yang diciptakan oleh sekelompok pengembang malware yang menjuluki diri mereka sebagai Janus Secretary. Kelompok ini menyewa akses ke ransomware Petya, Mischa dan GoldenEye melalui portal Ransomware as a Service (RaaS) yang tersedia di Web Gelap.

Orang-orang yang menyewa Petya melalui layanan ini menerima binary yang mereka harus kirim ke korban melalui kampanye spam atau mengeksploitasi metode distribusi berbasis exploit kit.

Ketika binary Petya ini menginfeksi korban, Petya ransomware mengirim kunci enkripsi dan menangani semua operasi pembayaran melalui backend Raas Petya. Penyewa tidak memiliki kontrol penuh atas infeksi Petya, dan mereka hanya menerima bagian dari pembayaran uang tebusan Petya, setelah Janus mengambil bagiannya.

Enkripsi PetrWrap

Aktor ulung di belakang PetrWrap dengan pintar mengambil salah satu binary Petya dan memodifikasinya agar dapat bekerja secara mandiri dari backend RaaS Petya, atau si aktor tidak ingin bergantung pada Petya.

Teknik ini disebut “wrapping,” singkatan dari nama inilah yang kemudian digunakan untuk menamai PetrWrap. Membungkus Petya asli memungkinkan aktor di belakang layar ini untuk mendapatkan keuntungan dari enkripsi rock-solid (currentlu undecryptable) Petya, tapi menyimpan kunci enkripsi dan menangani pembayaran melalui server sendiri.

Selain itu, membungkus binary Petya asli juga memungkinkan mereka untuk memodifikasi ransom note Petya, menghapus gambar tengkorak merah berkedip dan setiap nama Petya. Korban terinfeksi dengan ransomware PetrWrap tidak tahu dan tidak bisa mengatakan bahwa mereka telah terinfeksi dengan versi Petya dimodifikasi, karena tidak disebutkan nama Petya di sana.

Peneliti keamanan yang berpengalaman mungkin akan menebak PetrWrap entah bagaimana berhubungan dengan Petya, sebagaimana ransom note masih terlihat mirip dengan Petya, yang merupakan top keluarga ransomware saat ini yang beroperasi dengan mengunci tabel MFT untuk partisi NTFS dan menmpa MBR dengan kustom bootloader.

PetrWrap dan Samas

PetrWrap berbagi kode aktual dengan Petya, tapi bukan hanya PetrWrap, ransomware yang berbagi modus operandi dengan keluarga ransomware lain. Ada ransomware Samas, yang juga dikenal sebagai Samsam, Kazi, atau RDN/Ransom, yang diinstal secara manual oleh hacker pada endpoint dari jaringan dikompromikan melalui koneksi RDP tak aman

Kelompok PetrWrap beroperasi dengan cara yang sama, dengan mencari server RDP tak aman, lalu meluncurkan serangan brute-force, mengorbankan server, dan menggunakan alat-alat lain untuk meningkat akses dalam jaringan organisasi.

Pada akhirnya, ketika mereka memperoleh akses ke banyak endpoint, mereka menginstal PetrWrap dan menunggu pembayaran, dan berharap korban tidak memiliki backup offline.
Sumber berita:
https://www.bleepingcomputer.com

Tags: antivirus palsu ESET ESET Indonesia Ransomware

Post navigation

Previous Ketika Star Trek Berkelana di Dunia Digital
Next Revenge Menyebar dengan Bantuan Eksploit Kit RIG

Related Stories

Kunci Rahasia IIS Bocor Ratusan Server Diretas Kunci Rahasia IIS Bocor Ratusan Server Diretas
4 min read
  • Sektor Bisnis
  • Teknologi

Kunci Rahasia IIS Bocor Ratusan Server Diretas

October 23, 2025
Kekacauan Global Situs Populer Error Massal Kekacauan Global Situs Populer Error Massal
3 min read
  • Sektor Bisnis
  • Teknologi

Kekacauan Global Situs Populer Error Massal

October 23, 2025
Bahaya Ekstensi Palsu WhatsApp Web Bahaya Ekstensi Palsu WhatsApp Web
3 min read
  • Sektor Personal
  • Teknologi

Bahaya Ekstensi Palsu WhatsApp Web

October 22, 2025

Recent Posts

  • SnakeStealer Pencuri Data yang Merajalela
  • Penipuan Canggih di Balik Kedok Karyawan Bank
  • Ancaman Terbesar Kini Datang dari Ponsel Pribadi Karyawan
  • Kunci Rahasia IIS Bocor Ratusan Server Diretas
  • Kekacauan Global Situs Populer Error Massal
  • Malware GlassWorm Curi Data Developer
  • Bahaya Ekstensi Palsu WhatsApp Web
  • Mengapa Karyawan Adalah Gerbang Utama Masuknya Peretas
  • 3 Pintu Masuk Ransomware Serang UKM
  • SIM Farm Industri Pencurian Kredensial

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • News Release
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

SnakeStealer Pencuri Data yang Merajalela SnakeStealer Pencuri Data yang Merajalela
4 min read
  • Sektor Bisnis

SnakeStealer Pencuri Data yang Merajalela

October 24, 2025
Penipuan Canggih di Balik Kedok Karyawan Bank Penipuan Canggih di Balik Kedok Karyawan Bank
5 min read
  • Mobile Security
  • Sektor Personal

Penipuan Canggih di Balik Kedok Karyawan Bank

October 24, 2025
Ancaman Terbesar Kini Datang dari Ponsel Pribadi Karyawan Ancaman Terbesar Kini Datang dari Ponsel Pribadi Karyawan
3 min read
  • Mobile Security
  • Sektor Bisnis

Ancaman Terbesar Kini Datang dari Ponsel Pribadi Karyawan

October 24, 2025
Kunci Rahasia IIS Bocor Ratusan Server Diretas Kunci Rahasia IIS Bocor Ratusan Server Diretas
4 min read
  • Sektor Bisnis
  • Teknologi

Kunci Rahasia IIS Bocor Ratusan Server Diretas

October 23, 2025

Copyright © All rights reserved. | DarkNews by AF themes.