Ransomware Adhubilka
Para peneliti telah mengidentifikasi jenis ransomware baru yang muncul pada tahun 2019, yang disebut sebagai ransomware Adhubilka yang sulit diidentifikasi.
Ransomware Adhubilka menargetkan individu dan usaha kecil, menuntut uang tebusan dalam jumlah kecil dari setiap klien, tidak seperti yang diminta oleh pelaku ransomware pada umumnya.
Varian baru dari keluarga ransomware adhubilka yang muncul pertama kali pada tahun 2020 adalah TZW dan diketahui sangat aktif.
|
Baca juga: Fenomena Ransomware Baru Bermunculan |
Salah Identifikasi
Yang lebih penting dari penemuan tersebut adalah proses yang dilakukan para peneliti untuk mengidentifikasinya dengan benar. Selama bertahun-tahun, banyak sampel Adhubllka telah salah diklasifikasikan dan/atau salah dimasukkan ke dalam keluarga ransomware lainnya.
Hal ini akan membingungkan para pemburu ancaman/peneliti keamanan saat membuat laporan insiden. Memang benar, para peneliti melaporkan bahwa beberapa mesin sebelumnya telah mendeteksi TZW tetapi menemukan jejak malware lain, seperti CryptoLocker dalam sampelnya.
Selain itu, nama lain telah ditetapkan untuk sampel yang sama, termasuk ReadMe, MMM, MME, GlobeImposter2.0, yang semuanya sebenarnya milik keluarga ransomware Adhubllka. Semua kebingungan ini memerlukan penggalian lebih lanjut mengenai silsilah jenis ransomware untuk mengidentifikasinya dengan atribusi yang tepat.
Penelitian ini juga menyoroti penelusuran keluarga ransomware hingga ke asal-usulnya menggunakan saluran komunikasi [pelaku ancaman] dan cara lain, termasuk email kontak, catatan tebusan, dan metode eksekusi, yang semuanya memainkan peran penting dalam analisis.
|
Baca juga: Panduan Ransomware Singkat |
Pemerasan Adhubllka
Adhubllka pertama kali mendapatkan lebih banyak perhatian pada bulan Januari 2020, namun menjadi “sangat aktif” pada tahun sebelumnya.
Kelompok ancaman TA547 menggunakan varian Adhubllka dalam operasi mereka yang menargetkan berbagai sektor di Australia pada tahun 2020.
Alasan utama mengapa sangat sulit bagi peneliti untuk mengidentifikasi TZW sebagai spin-off dari Adhubllka adalah karena tuntutan tebusan yang kecil.
TZW meminta $800 hingga $1.600, dengan jumlah tuntutan tersebut, korban seringkali membayar pelaku sehingga mereka terus berada di bawah radar.
Seperti ransomware lainnya, ia disebarkan melalui operasi phising, namun uniknya ransomware ini hanya menargetkan individu dan perusahaan skala kecil.
Sehingga tidak akan menjadi berita besar di saluran media. Namun, ini tidak berarti Adhubllka tidak akan tumbuh lebih besar di masa mendatang, karena mereka telah melakukan pembaruan yang diperlukan pada infrastruktur mereka.
Faktanya, di masa depan, para peneliti mengantisipasi bahwa ransomware ini mungkin akan diganti namanya dengan nama lain; kelompok lain juga dapat menggunakannya untuk meluncurkan operasi ransomware mereka sendiri.
Namun, selama pelaku tidak mengubah cara komunikasinya, peneliti keamanan akan dapat melacak semua kasus tersebut hingga ke keluarga Adhubllka.
|
Baca juga: Ransomware 8Base Menargetkan UMKM |
Kunci Identifikasi
Kunci yang digunakan para peneliti untuk mengaitkan operasi terbaru ini dengan Adhubilka adalah dengan melacak domain Tor yang tertaut sebelumnya.
Dan tim peneliti tersebut mengungkap petunjuk dari dalam catatan tebusan yang diberikan kepada korban untuk melacaknya kembali ke sumbernya.
Dalam catatan tersebut, pelaku meminta korban untuk berkomunikasi melalui portal berbasis Tor untuk mendapatkan kunci dekripsi setelah pembayaran uang tebusan.
Catatan tersebut diketahui mereka mengubah saluran komunikasinya dari URL Tor Onion v2 menjadi URL Tor v3, karena komunitas Tor tidak lagi menggunakan domain v2 Onion.
Lebih lanjut, kalimat tambahan dalam catatan, server dengan dekripsi Anda berada di jaringan tertutup Tor, hanya terlihat di dua varian Adhubllka baru: TZW dan U2K, menurut para peneliti.
Petunjuk lain yang menunjukkan dengan jelas varian terbaru Adhubllka adalah penggunaan alamat email pr0t3eam@protonmail.com dalam operasi.
Alamat email tersebut dilaporkan secara luas sebagai milik kelompok Adhubilka, dan tautannya ke sampel varian MD5 Adhubllka yang terlihat pada tahun 2019.
Penelitian ini secara keseluruhan menunjukkan bagaimana ransomware dirancang dengan hati-hati untuk menghindari pemburu malware, memperkuat pertahanan terhadap serangan solusi keamanan.
Namun, ketika ransomware baru dibentuk/dikodekan, hal itu hanya dapat digagalkan dengan pendidikan keamanan dasar, seperti tidak mengeklik tautan jahat yang dikirimkan melalui email.
Memang benar, perlindungan yang paling penting bagi perusahaan adalah mencegah ransomware memasuki suatu lingkungan, yang berarti mencari anomali perilaku, peningkatan hak istimewa, dan masuknya media yang dapat dipindahkan yang mencurigakan ke dalam suatu lingkungan.
Sumber berita:
