Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Sektor Bisnis
  • Ransomware ProLock Incar Perusahaan Kelas Kakap Hati-hati Indonesia
  • Ransomware
  • Sektor Bisnis

Ransomware ProLock Incar Perusahaan Kelas Kakap Hati-hati Indonesia

3 min read

Credit image: Pixabay

Dalam 6 bulan terakhir sebuah ransomware bergerak dengan cepat dan menyebar luas ke berbagai sektor, namun uniknya hanya menggunakan taktik standar dalam serangannya. Operator dari ransomware yang dijuluki ProLock ini sepertinya memang mengincar banyak korban.

Kerja keras operator ProLock seperti ingin menebus kegagalan mereka di tahun 2019, yang saat itu bernama PwndLocker, karena bug kripto yang memungkinkan membuka file secara gratis, operator melakukan boot ulang dengan memperbaiki kesalahan dan mengganti nama malware menjadi ProLock.

Ransomware yang dideteksi ESET sebagai Win32/Filecoder.PwndLocker.A tersebut sejak awal pelaku memang sudah menetapkan standar tinggi untuk korbannya, menargetkan jaringan perusahaan dan menuntut tebusan antara $175.000 hingga lebih dari $660.000 atau jika dirupiahkan senilai 2,6 miliar sampai dengan 9,8 miliar.

Taktik Standar Mematikan

Pelaku tidak memiliki preferensi terhadap target atau sektor kegiatannya selama mereka adalah perusahaan dengan jaringan besar dan mampu membayar tebusan yang tinggi. Sejauh ini, fokus tampaknya tertuju pada bisnis, jelasnya pada perusahaan-perusahaan besar.

Selama setengah tahun terakhir, terdeteksi lebih dari 150 operasi ProLock, korban terbaru diminta 225 Bitcoin, lebih dari $2,3 juta pada nilai saat ini.

Taktik, teknik, dan prosedur grup ini sederhana dan efektif, kemitraan dengan trojan perbankan QakBot (QBot) memungkinkan mereka untuk memetakan jaringan, bergerak secara lateral, dan pada akhirnya menyebarkan ransomware.

Antara kompromi awal dan menjalankan rutinitas enkripsi file, pelaku menghabiskan sekitar satu bulan di jaringan, mengumpulkan informasi untuk penargetan yang lebih baik dan data exfiltrasi (melalui Rclone).

Menjalankan ProLock di jaringan target adalah langkah terakhir serangan, yang biasanya dimulai dengan email spear phising yang berisi VBScripts yang dipersenjatai dan dokumen Office yang mengirimkan QakBot, seringkali melalui balasan di utas email yang dibajak.

Berkali-kali juga diketahui VBScript digunakan untuk mengunduh QakBot dalam jumlah sangat besar, bahkan hingga mencapai 40MB, untuk melewati solusi keamanan yang biasanya tidak melakukan pemindaian untuk file besar.

Setelah berada di host target, QakBot menetapkan persistensi dan memastikan bahwa pertahanan aktif tidak menemukannya dengan memodifikasi Windows Registry untuk menambahkan binernya pada daftar pengecualian Windows Defender.

QakBot juga mengumpulkan banyak informasi tentang host yang terinfeksi, termasuk alamat IP, nama host, domain, dan daftar program yang diinstal. Berkat informasi ini, pelaku memperoleh pemahaman dasar tentang jaringan dan dapat merencanakan kegiatan pasca eksploitasi.

Dengan alat seperti Bloodhound dan ADFind, pelaku ancaman membuat profil lingkungan untuk mendistribusikan trojan perbankan ke host lain di jaringan. Dalam beberapa kasus, ini dilakukan secara manual menggunakan PsExec, menunjukkan koneksi yang kuat antara operator ProLock dan QakBot.

Bergerak secara lateral juga melibatkan penggunaan desktop jarak jauh (RDP), dan ketika ini tidak tersedia di mesin, aktor menjalankan skrip batch berikut melalui PsExec untuk mengaktifkan koneksi jarak jauh.

Perangkat ProLock mencakup alat pasca eksploitasi Mimikatz untuk penguji penetrasi, yang disebarkan melalui perangkat lunak Cobalt.


Ditemukan juga bahwa pelaku ransomware terkadang mengandalkan kerentanan di Windows (CVE-2019-0859) yang memungkinkan mereka untuk meningkatkan privilege atau hak istimewa pada sistem yang disusupi.

Menurut laporan terakhir, malware pengenkripsi file mendarat di host baik melalui QakBot, diunduh dengan Background Intelligent Transfer Service (BITS) dari server pelaku atau dengan menjalankan skrip menggunakan Windows Management Instrumentation (WMIC) pada host jarak jauh.

Meskipun menggunakan alat standar, serangan ProLock sebagian besar tetap tidak terdeteksi di jaringan, memberi mereka waktu untuk mempersiapkan tahap enkripsi file dan mencuri data.

Serangan dari aktor ancaman ini semakin intensif akhir-akhir ini, menyebabkan FBI merilis dua Peringatan FLASH tentang aktor ini tahun ini. Yang pertama, agensi memperingatkan bahwa alat dekripsi ProLock dapat menyebabkan kehilangan data karena tidak berfungsi dengan baik sepanjang waktu.

ESET sudah pernah berhadapan dengan ProLock sebelumnya memiliki penangkal untuk menghadapi ransomware berbahaya ini. Selain itu, ada teknologi lain yang disarankan, yakni menggunakan NTA atau Network Traffic Analysis seperti GREYCORTEX.

GREYCORTEX mendeteksi semua lalu lintas yang hilir mudik dan keluar masuk ke dalam jaringan perusahaan, tida ada anomali sekecil apa pun terlewat dari pemindaiannya. Dengan mampu mendeteksi kehadiran awal sebuah ancaman, akan memberi waktu bagi perusahaan menanggulangi serangan sebelum itu terjadi.

Tags: Ancaman Ransomware Baru Antivirus ESET Antivirus Super Ringan Antivirus Terbaik BacaPikirshare ESET News prosperita Prosperita Ransomware ProLock Ransomware ProLock Mematikan

Continue Reading

Previous: Pentingnya Hapus Akun Tak Terpakai Sebelum Diretas
Next: Melindungi Akun Zoom dengan 2FA

Related Stories

Penipuan DocuSign Jangan Sampai Data Anda Dicuri Penipuan DocuSign Jangan Sampai Data Anda Dicuri
5 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Penipuan DocuSign Jangan Sampai Data Anda Dicuri

June 2, 2025
Membongkar Rahasia Cara Kerja VPN Membongkar Rahasia Cara Kerja VPN
6 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Membongkar Rahasia Cara Kerja VPN

June 2, 2025
Lindungi Data dengan Enkripsi Seperti Perusahaan Besar Lindungi Data dengan Enkripsi Seperti Perusahaan Besar
4 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Lindungi Data dengan Enkripsi Seperti Perusahaan Besar

May 28, 2025

Recent Posts

  • Manipulasi Psikologis di Balik Serangan Social Engineering Anak
  • Hati-hati Eksekutif Keuangan Phising Canggih Menguntit
  • SIM Card Dari Fisik ke Digital dan Risiko di Baliknya
  • Penipuan DocuSign Jangan Sampai Data Anda Dicuri
  • Membongkar Rahasia Cara Kerja VPN
  • Mengelola dan Melindungi Jejak Digital
  • Lindungi Data dengan Enkripsi Seperti Perusahaan Besar
  • Mencegah Bisnis menjadi Korban Serangan Phising
  • Dari ClickFix ke Video TikTok Palsu
  • Riset ESET: Asia Dominasi Serangan Siber

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Manipulasi Psikologis di Balik Serangan Social Engineering Anak Manipulasi Psikologis di Balik Serangan Social Engineering Anak
5 min read
  • Sektor Personal
  • Teknologi

Manipulasi Psikologis di Balik Serangan Social Engineering Anak

June 4, 2025
Hati-hati Eksekutif Keuangan Phising Canggih Menguntit Hati-hati Eksekutif Keuangan Phising Canggih Menguntit
5 min read
  • Teknologi

Hati-hati Eksekutif Keuangan Phising Canggih Menguntit

June 3, 2025
SIM Card Dari Fisik ke Digital dan Risiko di Baliknya SIM Card Dari Fisik ke Digital dan Risiko di Baliknya
4 min read
  • Teknologi

SIM Card Dari Fisik ke Digital dan Risiko di Baliknya

June 3, 2025
Penipuan DocuSign Jangan Sampai Data Anda Dicuri Penipuan DocuSign Jangan Sampai Data Anda Dicuri
5 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Penipuan DocuSign Jangan Sampai Data Anda Dicuri

June 2, 2025

Copyright © All rights reserved. | DarkNews by AF themes.