Ransomware SunCrypt Berevolusi Incar Target Bernilai Tinggi

SunCrypt beroperasi sebagai Ransomware as a Service (RaaS) yang menjadi terkenal pada pertengahan 2020 baru-baru ini dilaporkan masih aktif, karena operatornya terus bekerja untuk menambahkan kemampuan baru.

SunCrypt adalah salah satu pelopor awal pemerasan rangkap tiga, termasuk enkripsi file, ancaman untuk mempublikasikan data curian, dan serangan DDoS (Distributed Denial of Service) terhadap korban yang tidak membayar.

Terlepas dari ini dan kurangnya batasan penargetan dalam program afiliasi, SunCrypt telah gagal tumbuh lebih besar dari RaaS pribadi kecil dari lingkaran afiliasi tertutup. Namun stagnasi ini tidak menghentikan pengembang ransomware untuk mengerjakan versi baru dan lebih baik dari strain mereka, yang dianalisis oleh para analis mengalami perubahan yang menentukan.

Fitur baru

Kemampuan baru varian SunCrypt 2022 mencakup penghentian proses, menghentikan layanan, dan membersihkan mesin untuk eksekusi ransomware.

Fitur-fitur ini telah lama ada pada jenis ransomware lainnya, tetapi untuk SunCrypt, fitur-fitur tersebut merupakan tambahan yang sangat baru, membuatnya tampak seperti masih dalam tahap pengembangan awal.

Penghentian proses mencakup proses yang membutuhkan banyak sumber daya yang dapat memblokir enkripsi file data terbuka, seperti WordPad (dokumen), SQLWriter (basis data), dan Outlook (email).

Fitur pembersihan diaktifkan di akhir rutinitas enkripsi, menggunakan dua API Call untuk menghapus semua log. Meskipun satu saja cukup, pengembang mungkin menggunakan dua untuk redundansi. Setelah semua log dihapus, ransomware menghapus dirinya sendiri dari disk menggunakan cmd.exe.

Salah satu fitur lama yang penting yang dipertahankan dalam versi terbaru adalah penggunaan port penyelesaian I/O untuk enkripsi yang lebih cepat melalui proses threading.

Selain itu, SunCrypt terus mengenkripsi volume lokal dan jaringan berbagi, dan masih mempertahankan daftar yang diizinkan untuk direktori Windows, boot.ini, file dll, recycle bin, dan item lain yang membuat komputer tidak dapat dioperasikan jika dienkripsi.

Aktivitas dan target

Dari informasi yang beredar belakangan, SunCrypt masih mengenkripsi korban tetapi tampaknya memiliki aktivitas terbatas. Kelompok tersebut kemungkinan menargetkan entitas bernilai tinggi dan merahasiakan negosiasi pembayaran tebusan, agar tidak menarik perhatian penegak hukum dan liputan media.

Salah satu yang menderita akibat serangan SunCrypt belum lama ini adalah Migros, jaringan supermarket terbesar di Swiss yang mempekerjakan lebih dari 100.000 orang.

Singkatnya, SunCrypt tidak diragukan lagi merupakan ancaman nyata yang tidak bisa dipandang remeh meskipun mereka masih terus dalam proses pengembangan, bagaimana pun ancaman RaaS terus tumbuh dan memberi kemudahan bagi penjahat siber yang masih hijau. Kesempatan yang mengundang minat siapa pun dalam kegelapan siber.