Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Sektor Bisnis
  • Ransomware ProLock Incar Perusahaan Kelas Kakap Hati-hati Indonesia
  • Ransomware
  • Sektor Bisnis

Ransomware ProLock Incar Perusahaan Kelas Kakap Hati-hati Indonesia

3 min read

Credit image: Pixabay

Dalam 6 bulan terakhir sebuah ransomware bergerak dengan cepat dan menyebar luas ke berbagai sektor, namun uniknya hanya menggunakan taktik standar dalam serangannya. Operator dari ransomware yang dijuluki ProLock ini sepertinya memang mengincar banyak korban.

Kerja keras operator ProLock seperti ingin menebus kegagalan mereka di tahun 2019, yang saat itu bernama PwndLocker, karena bug kripto yang memungkinkan membuka file secara gratis, operator melakukan boot ulang dengan memperbaiki kesalahan dan mengganti nama malware menjadi ProLock.

Ransomware yang dideteksi ESET sebagai Win32/Filecoder.PwndLocker.A tersebut sejak awal pelaku memang sudah menetapkan standar tinggi untuk korbannya, menargetkan jaringan perusahaan dan menuntut tebusan antara $175.000 hingga lebih dari $660.000 atau jika dirupiahkan senilai 2,6 miliar sampai dengan 9,8 miliar.

Taktik Standar Mematikan

Pelaku tidak memiliki preferensi terhadap target atau sektor kegiatannya selama mereka adalah perusahaan dengan jaringan besar dan mampu membayar tebusan yang tinggi. Sejauh ini, fokus tampaknya tertuju pada bisnis, jelasnya pada perusahaan-perusahaan besar.

Selama setengah tahun terakhir, terdeteksi lebih dari 150 operasi ProLock, korban terbaru diminta 225 Bitcoin, lebih dari $2,3 juta pada nilai saat ini.

Taktik, teknik, dan prosedur grup ini sederhana dan efektif, kemitraan dengan trojan perbankan QakBot (QBot) memungkinkan mereka untuk memetakan jaringan, bergerak secara lateral, dan pada akhirnya menyebarkan ransomware.

Antara kompromi awal dan menjalankan rutinitas enkripsi file, pelaku menghabiskan sekitar satu bulan di jaringan, mengumpulkan informasi untuk penargetan yang lebih baik dan data exfiltrasi (melalui Rclone).

Menjalankan ProLock di jaringan target adalah langkah terakhir serangan, yang biasanya dimulai dengan email spear phising yang berisi VBScripts yang dipersenjatai dan dokumen Office yang mengirimkan QakBot, seringkali melalui balasan di utas email yang dibajak.

Berkali-kali juga diketahui VBScript digunakan untuk mengunduh QakBot dalam jumlah sangat besar, bahkan hingga mencapai 40MB, untuk melewati solusi keamanan yang biasanya tidak melakukan pemindaian untuk file besar.

Setelah berada di host target, QakBot menetapkan persistensi dan memastikan bahwa pertahanan aktif tidak menemukannya dengan memodifikasi Windows Registry untuk menambahkan binernya pada daftar pengecualian Windows Defender.

QakBot juga mengumpulkan banyak informasi tentang host yang terinfeksi, termasuk alamat IP, nama host, domain, dan daftar program yang diinstal. Berkat informasi ini, pelaku memperoleh pemahaman dasar tentang jaringan dan dapat merencanakan kegiatan pasca eksploitasi.

Dengan alat seperti Bloodhound dan ADFind, pelaku ancaman membuat profil lingkungan untuk mendistribusikan trojan perbankan ke host lain di jaringan. Dalam beberapa kasus, ini dilakukan secara manual menggunakan PsExec, menunjukkan koneksi yang kuat antara operator ProLock dan QakBot.

Bergerak secara lateral juga melibatkan penggunaan desktop jarak jauh (RDP), dan ketika ini tidak tersedia di mesin, aktor menjalankan skrip batch berikut melalui PsExec untuk mengaktifkan koneksi jarak jauh.

Perangkat ProLock mencakup alat pasca eksploitasi Mimikatz untuk penguji penetrasi, yang disebarkan melalui perangkat lunak Cobalt.


Ditemukan juga bahwa pelaku ransomware terkadang mengandalkan kerentanan di Windows (CVE-2019-0859) yang memungkinkan mereka untuk meningkatkan privilege atau hak istimewa pada sistem yang disusupi.

Menurut laporan terakhir, malware pengenkripsi file mendarat di host baik melalui QakBot, diunduh dengan Background Intelligent Transfer Service (BITS) dari server pelaku atau dengan menjalankan skrip menggunakan Windows Management Instrumentation (WMIC) pada host jarak jauh.

Meskipun menggunakan alat standar, serangan ProLock sebagian besar tetap tidak terdeteksi di jaringan, memberi mereka waktu untuk mempersiapkan tahap enkripsi file dan mencuri data.

Serangan dari aktor ancaman ini semakin intensif akhir-akhir ini, menyebabkan FBI merilis dua Peringatan FLASH tentang aktor ini tahun ini. Yang pertama, agensi memperingatkan bahwa alat dekripsi ProLock dapat menyebabkan kehilangan data karena tidak berfungsi dengan baik sepanjang waktu.

ESET sudah pernah berhadapan dengan ProLock sebelumnya memiliki penangkal untuk menghadapi ransomware berbahaya ini. Selain itu, ada teknologi lain yang disarankan, yakni menggunakan NTA atau Network Traffic Analysis seperti GREYCORTEX.

GREYCORTEX mendeteksi semua lalu lintas yang hilir mudik dan keluar masuk ke dalam jaringan perusahaan, tida ada anomali sekecil apa pun terlewat dari pemindaiannya. Dengan mampu mendeteksi kehadiran awal sebuah ancaman, akan memberi waktu bagi perusahaan menanggulangi serangan sebelum itu terjadi.

Tags: Ancaman Ransomware Baru Antivirus ESET Antivirus Super Ringan Antivirus Terbaik BacaPikirshare ESET News prosperita Prosperita Ransomware ProLock Ransomware ProLock Mematikan

Continue Reading

Previous: Pentingnya Hapus Akun Tak Terpakai Sebelum Diretas
Next: Melindungi Akun Zoom dengan 2FA

Related Stories

Modus Baru Penipuan Ancaman Callback Phising Modus Baru Penipuan Ancaman Callback Phising
3 min read
  • Sektor Bisnis
  • Sektor Personal

Modus Baru Penipuan Ancaman Callback Phising

July 9, 2025
Ancaman Rantai Pasok Mengintai UMKM Ancaman Rantai Pasok Mengintai UMKM
4 min read
  • Sektor Bisnis

Ancaman Rantai Pasok Mengintai UMKM

July 8, 2025
Jebakan Siber Makin Canggih Jebakan Siber Makin Canggih
4 min read
  • Sektor Bisnis
  • Sektor Personal

Jebakan Siber Makin Canggih

July 7, 2025

Recent Posts

  • Modus Baru Penipuan Ancaman Callback Phising
  • Bertahan dari Serangan Siber
  • Ancaman Rantai Pasok Mengintai UMKM
  • Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru
  • Mengapa Gamer Menjadi Target Menarik bagi Penjahat Siber
  • Jebakan Siber Makin Canggih
  • 5 Kiat Menjaga Kemanan Siber Ponsel
  • Panduan untuk Keluarga di Era Digital
  • Gamer: Mengapa Mereka Rentan & Cara Melindungi Diri
  • Keylogger Curi Kredensial di Server Microsoft Exchange

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Modus Baru Penipuan Ancaman Callback Phising Modus Baru Penipuan Ancaman Callback Phising
3 min read
  • Sektor Bisnis
  • Sektor Personal

Modus Baru Penipuan Ancaman Callback Phising

July 9, 2025
Bertahan dari Serangan Siber Bertahan dari Serangan Siber
6 min read
  • Teknologi

Bertahan dari Serangan Siber

July 8, 2025
Ancaman Rantai Pasok Mengintai UMKM Ancaman Rantai Pasok Mengintai UMKM
4 min read
  • Sektor Bisnis

Ancaman Rantai Pasok Mengintai UMKM

July 8, 2025
Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru
6 min read
  • Mobile Security
  • Sektor Personal

Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru

July 8, 2025

Copyright © All rights reserved. | DarkNews by AF themes.