Credit image: Pixabay
Anonymous sebuah kata yang lazim kita dengar di dunia internet, kelompok hacker ini dikenal sering membuat kehebohan dengan melakukan tindakan siber yang menurut mereka sebagai penegakan keadilan.
Tapi uniknya beberapa waktu ini muncul seorang anggota kolektif hacker Anonim yang memproklamirkan dirinya sendiri berada di belakang kampanye untuk menyebarkan RAT Houdini dan saat ini mencoba untuk menyebarkan ransomware MoWare H.F.D.
Nama hacker ini adalah Mohammed Raad, menurut profil Facebook-nya, namun dia juga online dengan julukan “vicswors baghdad,” menurut profil Facebook, Twitter, Google+, dan YouTube.
Meskipun banyak yang meragukan jika nama yang digunakan ini adalah nama asli, lagi pula siapa yang mau membuka dirinya secara terang-terangan setelah melakukan banyak kegiatan siber berbahaya.
Raad Dibalik Houdini
Tindakan Raad akan luput dari pengamatan jika dia tidak memiliki senjata dan mulai menyebarkan Houdini (atau worm-H), RAT berbasis VBScript yang dibuat dan pertama kali diluncurkan pada tahun 2013. Kesalahan terbesarnya adalah dengan menggunakan PasteBin untuk menyimpan inti dari RAT, yaitu file VBScript.
Para peneliti keamanan secara teratur mengumpulkan dan mengarsipkan arsip PasteBin, aksinya diketahui awal bulan ini, setelah para ahli mengamati peningkatan keseluruhan VBScript yang diposkan di situs paste online.
Menganalisis gelombang ini, para ahli menyadari bahwa sebagian besar skripnya adalah VBScript Houdini. Setelah menganalisis data, mereka mengidentifikasi tiga lonjakan aktivitas pada Agustus 2016, Oktober 2016, dan Maret 2017.
Para peneliti menyakini bahwa komputer yang terinfeksi akan mengunduh VBScript dari situs paste, yang kemudian terhubung ke server C & C dan mampu bertahan dalam host yang terinfeksi dengan menyiapkan folder lokal dan kunci registri.
Domain C & C
Untuk menemukan rincian lebih lanjut tentang siapa yang berada di balik lonjakan VBScript di situs pasta ini, para periset melihat-lihat semua URL server C & C yang ditemukan di dalam skrip Houdini.
Pencarian ini mengidentifikasi server C & C yang di-host di subdomain 105 untuk penyedia DNS dynamic (ddns.net, no-ip.com, dsb.), Namun juga satu domain bersih yang jelas.
Domain itu adalah microsofit [.] Net, yang didaftarkan oleh Raad. Sampai sini, peneliti menyadari bahwa banyak dari subdomain 105 DNS dinamis lainnya adalah variasi nama pelaku, baik menggunakan Raad atau kata Mohammed dalam nama subdomain (mohammadx47.ddns.net; mohamedsaeed.ddns.net; dll.).
Raad dan MoWare
Raad dalam sebuah video di YouTube yang dibuatnya untuk mengiklankan ransomware MoWare H.F.D meminta pengembang malware memberikan salinan ransomware. beberapa hari kemudian Raad posting sebuah gambar di Facebook menunujukkan source code ransomware MoWare menyiratkan bahwa dia menerima salinannya, dan saat ini sedang mengedit kodenya.
Memang tidak ada bukti bahwa penulis merilis ransomware secara bebas, tapi juga tidak ada bantahan dari pengembang malware jika ia tidak memberikan salinan ransomware, jadi kemungkinana besar Raad sudah menyiapkan ransomware Moware.
Dari profil media sosial yang dimiliki, Raad diketahui berkebangsaan Irak yang tinggal di Munich, Jerman. Sampai sekarang belum ada gerakan lebih lanjut dari Raad, tetapi mengingat dirinya pernah menjadi bagian Anonymous, bisa saja dalam waktu dekat ia meluncurkan ransomware tersebut.
Tidak berhenti di situ, pengembang malware juga diketahui semakin menyalahgunakan situs paste untuk mendongkrak aktivitasnya dalam upaya pendistribusian ransomware mereka.
Selain Raad, ada aktor lain yang ikut bermain dengan ransomware yang sama, mereka menggunakan VBScript yang di-host di Pastebin, yang apabila dijalankan akan menginstal Remote Akses Trojan atau RAT yaitu njRAT pada komputer korban, Sementara ia juga mengunduh string terenkripsi RAT yang dienkripsi tersimpan di Hastebin
Dari informasi ini kita bisa mengetahui bahwa mungkin dalam waktu yang tidak lama lagi akan muncul serangan ransomware MoWare yang mungkin jauh lebih berbahaya dari aslinya, mengingat salah seorang anggota Anonymous memiliki salinan source code-nya, dan dengan kemampuan sebagai seorang Anonymous tentu tidak bisa diangga[[ remeh. Tapi, kita tidak tahu apakah kali ini akan digunakan untuk kebaikan atau malah kejahatan.
Sumber berita:
https://www.bleepingcomputer.com
