Ransomware AES-NI Gunakan Shadow broker Eksploit

Beberapa hari yang lalu pengembang ransomware AES-NI mengaku berhasil menggunakan EternalBlue, sebuah eksploitasi yang menargetkan protokol SMBv2 untuk menginfeksi server Windows di seluruh dunia dan kemudian menginstal ransomware buatannya.

Pengembang ini mengklaim bahwa kesuksesan mereka karena eksploitasi NSA yang bocor minggu lalu dengan shadow Broker. Mereka memberikan bukti dengan screenshot yang menunjukkan ransomware dev memindai server untuk tiga eksploitasi NSA.

Sementara keabsahan klaimnya masih belum bisa dibuktikan, tapi satu hal bisa dipastikan dan itulah jejak kehancuran yang ditiinggalkan oleh ransomware ini dalam seminggu terakhir, yang memakan korban dari para pengguna komputer di dunia.

Lonjakan aktivitas terjadi setelah Shadow Brokers membocorkan sekumpulan eksploitasi Windows Jumat lalu. Termasuk dalam kebocoran itu adalah FuzzBunch, Metasploit, eksploitasi mirip framework dan lebih dari 20 eksploitasi Windows, kebanyakan menargetkan protokol SMB.

Sementara pengembang ransomware AES-NI menyinggung bahwa dia menggunakan ETERNALBLUE untuk masuk ke server Windows dengan port SMB yang dibiarkan terbuka ke Internet, beberapa pakar keamanan telah meragukan klaim tersebut.

Para peneliti yakin korban diretas melalui RDP (serangan brute force terhadap akun pengguna yang lemah), dan kemudian pelaku memasang ransomware AES-NI di komputer atau server lokal mereka. Peneliti juga meragukan kelompok tersebut menggunakan eksploitasi NSA yang bocor oleh Shadow Brokers untuk menginfeksi korban.

Meskipun demikian, pengembang AES-NI menyinggung bahwa seseorang telah melaporkan dan menurunkan salah satu alamat email yang dia gunakan untuk menangani pembayaran tebusan. Ini menghentikannya untuk melayani sekitar 2.000 klien dan mungkin telah menghambat operasinya, setidaknya untuk saat ini.

Berdasarkan bukti saat ini, ransomware AES-NI telah menyebabkan banyak kerusakan selama akhir pekan, eksploitasi NSA atau tidak, banyak pengguna internet telah jadi korban baru AES-NI, dan mereka adalah bukti nyata bahwa AES-NI memberi dampak yang signifikan di seluruh dunia.

Ransomware khusus ini telah ada sejak Desember 2016 dan telah dikenal dengan dua nama lain: Ransomware AES dan Ransomware AES256. Dan baru-baru ini diganti menjadi Ransomware AES-NI untuk emmberi kesan sebagai ransomware baru.

Dan mulai Jumat lalu, ransomware telah mengiklankan ini sebagai “NSA EXPLOIT EDITION.” Versi saat ini meminta tebusan sebesar 1.5 Bitcoin ($1.800) atau setara dengan 24 juta rupiah. Namun, ransomware ini akan mendekripsi file secara gratis untuk korban dari negara-negara bekas Soviet. Untuk saat ini para peneliti masih bekerja keras agar dapat mendekripsi file yang dienkripsi oleh ransomware AES-NI.
Saat ini, cara termudah untuk menghindari korban serangan AES-NI adalah memblokir traffic eksternal ke port SMB dan RDP dan menerapkan MS17-010, Microsoft security bulletin juga mengeluarkan patch yang mampu menambal kerentanan yang bisa dieksploitasi oleh EXTERNALBLUE, eksploitasi dari ransomware AES-NI.

Selanjutnya, untuk berada di sisi yang aman, pastikan menerapkan semua patch Microsoft yang dapat memblokir eksploitasi dari eksploit Shadow Broker. Pengguna harus menginstal patch ini secepatnya. Karena para penjahat siber yang sudah mengetahui celah ini beramai-ramai akan memanfaatkan dengan berbagai cara untuk menggunakan eksploit ini. Hal ini diketahui dari forum-forum bawah tanah tempat para penjahat siber bertukar informasi.

Sumber berita:
https://www.bleepingcomputer.com