Ada ujar-ujar yang mengatakan bahwa langit yang tenang adalah awal dari badai yang mengerikan, kondisi yang sama persis dengan keadaan di dunia digital, seringkali kita melihat semua berjalan normal seperti biasa tapi di balik itu kita tak pernah tahu jika kejahatan terus bergerak dalam diam.
Seperti beberapa hari terakhir, diam-diam di bawah tanah telah terjadi pergerakan, sebuah aktivitas ilegal tengah berlangsung yang mendongkrak aktivitas sebuah ransomware yang diberi nama SynAck, hal ini diketahui setelah ada korban yang melaporkan bahwa mereka terinfeksi oleh malware pemeras ini
Ransomware khusus bernama SynAck atau Syn Ack pertama kali terlihat pada 3 Agustus dan para ahli bergerak cepat mencoba mencari tahu dan menggali lebih dalam ransomware ini agar dapat dinetralisir.
Operasi SynAck
Aktivitas dari SynAck tidak pernah dalam tingkat yang mengkhawatirkan, namun ransomware tersebut membuat korban setiap hari sepanjang bulan lalu. Sepertinya pengembang malware tidak ingin ransomware kreasinya terlihat terlalu mencolok untuk menghindari perhatian dari para peneliti keamanan siber.
Namun, distribusi ransomware ini sempat terdeteksi mengalami lonjakan aktivitas yang besar minggu ini, karena hampir 100 korban sekaligus menerima serangan yang membuat PC mereka terjangkit oleh SynAck dan harus membayar sejumlah uang tebusan jika ingin data mereka dipulihkan kembali.
Versi dan Ransom Note
Setelah menganalisis sampel ransomware SynAck, diketahui bahwa pengembang ransomware memliki tiga versi SynAck yang berbeda, berdasarkan ransom note yang mereka tampilkan pada PC yang terinfeksi.
SynAck tidak menggunakan portal pembayaran yang dihosting di dark web, namun meminta pengguna untuk menghubungi pengembangnya melalui email atau ID BitMessage. Berikut adalah alamat email dan ID BitMessage yang terlihat dalam tiga catatan tebusan yang berbeda.
Ransomware SynAck juga tidak menggunakan wallpaper desktop yang dikustomisasi untuk memberi sinyal kehadirannya, satu-satunya cara untuk menemukan bahwa SynAck telah menginfeksi PC adalah melalui ransom note yang ditampilkan di desktop pengguna, yang dinamai dalam format: RESTORE_INFO- [id] .txt. Misalnya: RESTORE_INFO-4ABFA0EF.txt
Selain itu, SynAck juga menambahkan ekstensi sendiri di akhir semua file yang dienkripsi. Format ekstensi file ini adalah sepuluh karakter alfanumerik acak untuk setiap file. Sebagai contoh: coba.jpg.XbMiJQiuoh.
Cara Kerja SynAck
Para peneliti keamanan siber percaya bahwa kelompok di belakang SynAck menggunakan serangan brute force RDP untuk mengakses komputer dari jarak jauh lalu mengunduh dan menginstal ransomware secara manual. Korban yang melaporkan tentang infeksi SynAck menginformasikan adanya infeksi pada mesin Windows Server dan jaringan perusahaan.
Pengembang ransomware meminta uang tebusan sebesar $2100 atau setara dengan 28 juta rupiah dan harus dibayar menggunakan Bitcoin, jika korban tidak memiliki mata uang Bitcoin, pengembang merekomendasikan sebuah layanan pada situs https://www.bestchange.comor localbitcoins.com untuk membuka dompet, kemudian korban harus mentransfer uang ke alamat 15n6gV8QUBsy2yh7wqLppWG4Fw4gsUTNAj setelah itu korban harus mengonfirmasi pengirimannya untuk mendapat decryptor.
Dompet Bitcoin yang tercantum dalam email tersebut menyimpan 98 dana Bitcoin, yang jumlahnya lebih dari 425.000. Dana sering masuk dan keluar dari akun ini, yang mungkin terkait dengan operasi RaaS (Ransomware as a Service), di mana kelompok lain mengambil potongannya dan kemudian meneruskan sisa dana kepada orang-orang yang menyewakan dan mendistribusikan ransomware
Mitigasi
Mitigasi dalam menghadapi ransomware memang harus disiapkan sejak sedini mungkin, sebagai persiapan atas segala kemungkinan termasuk kemungkinan yang terburuk
- Backup data secara teratur dan simpan salinan backup di tempat berbeda. Lalu enkripsi backup Anda sehingga tidak perlu lagi merasa kuatir jika perangkat back up jatuh ke tangan yang salah.
- Pastikan Windows yang digunakan selalu terupdate terhadap patch atau hotfix dari windows.
- Gunakan konfigurasi yang optimal untuk mendapatkan perlindungan maksimal.
- Update antivirus secara online dan terjadwal, pastikan Anda mendapatkan update terakhir dari produsen antivirus untuk menangani malware yang beredar.
- Untuk perusahaan, gunakan antivirus dengan edisi bisnis dengan sistem management dan update terpusat untuk mempermudah management dan penanganan. Pastikan sistem management dan updatenya dapat diinstal di sistem operasi Linux Server untuk mengurangi kemungkinan terinfeksi.
- Lebih disarankan menggunakan antivirus yang sudah terintegrasi juga dengan Antispam.
- Pastikan Software ESET di komputer Anda selalu dan sudah terupdate.
- Bagi pengguna ESET gunakan konfigurasi ESET Anti Ransomware Setup.
Sumber berita:
https://www.bleepingcomputer.com/
