Ransomware Venus Eksploitasi RDP
Belum lama ini di dunia maya muncul insiden dimana ransomware Venus Eksploitasi RDP (Remote Desktop Protocol) tang terbuka untuk umum digunakan untuk mengenkripsi perangkat Windows.
Ransomware Venus telah mulai beroperasi pada pertengahan Agustus 2022 dan sejak itu telah mengenkripsi korban di seluruh dunia.
Namun, ada ransomware lain yang menggunakan ekstensi file terenkripsi yang sama sejak 2021, tetapi tidak jelas apakah mereka terkait.
|
Baca juga: Panduan Ransomware Singkat |
Fungsionalitas Ransomware Venus
Pada Agustus 2022, ransomware Venus memulai operasinya dan mulai mengunci korban dari sistem mereka secara global.
-
Saat dijalankan, ransomware dapat menghentikan tiga puluh sembilan proses yang terhubung dengan server database dan aplikasi Office.
-
Ini menghapus Volume Shadow Copy dan log peristiwa, menonaktifkan pencegahan eksekusi data menggunakan perintah.
-
Itu menambahkan ekstensi .venus, file bernama test[.]jpg akan dienkripsi dan diganti namanya menjadi test[.]jpg[.]Venus.
Belum lama ini di dunia maya muncul insiden dimana ransomware Venus Eksploitasi RDP (Remote Desktop Protocol) tang terbuka untuk umum digunakan untuk mengenkripsi perangkat Windows.
Ransomware Venus telah mulai beroperasi pada pertengahan Agustus 2022 dan sejak itu telah mengenkripsi korban di seluruh dunia.
Namun, ada ransomware lain yang menggunakan ekstensi file terenkripsi yang sama sejak 2021, tetapi tidak jelas apakah mereka terkait.
|
Baca juga: Yang Perlu Diperhatikan dari ransomware Tahun Ini |
Ciri Khas Venus
Ransomware Venus yang mengeksploitasi RDP membagikan alamat TOX dan alamat email untuk menghubungi operator.
-
Ini membuat catatan tebusan HTA di folder %Temp% yang secara otomatis ditampilkan setelah selesai mengenkripsi perangkat.
-
Catatan tebusan adalah gumpalan yang disandikan base64, yang diyakini sebagai kunci dekripsi terenkripsi.
-
Selanjutnya, RDP disalahgunakan untuk akses awal ke jaringan, bahkan dengan nomor port non-standar untuk layanan tersebut.
Diketahui bahwa pelaku ancaman memperoleh akses ke jaringan perusahaan korban melalui Remote Desktop Protocol Windows.
Korban lain juga melaporkan RDP digunakan untuk akses awal ke jaringan mereka, bahkan saat menggunakan nomor port non-standar untuk layanan tersebut.
|
Baca juga: Melawan Ransomware 2022 |
Cara Venus Mengenkripsi
Saat dieksekusi, ransomware Venus akan menghentikan tiga puluh sembilan proses yang terkait dengan server basis data dan aplikasi Microsoft Office.
Ransomware juga akan menghapus log peristiwa, Shadow Copy Volumes, dan menonaktifkan Data Execution Prevention.
Saat mengenkripsi file, ransomware akan menambahkan ekstensi .venus. Misalnya, file bernama coba.jpg akan dienkripsi dan diganti namanya menjadi coba.jpg.venus.
Di setiap file terenkripsi, ransomware akan menambahkan penanda file ‘goodgamer’ dan informasi lain di akhir file. Tidak jelas apa informasi tambahan ini saat ini.
Ransomware akan membuat catatan tebusan HTA di folder %Temp% yang secara otomatis akan ditampilkan ketika ransomware selesai mengenkripsi perangkat.
Ransomware membagikan alamat TOX dan alamat email yang dapat digunakan untuk menghubungi pelaku untuk menegosiasikan pembayaran tebusan.
Di akhir catatan tebusan adalah base64 encoded, yang kemungkinan merupakan kunci dekripsi terenkripsi.
Saat ini, ransomware Venus cukup aktif, dengan kiriman baru yang diunggah ke ID Ransomware setiap hari.
Karena ransomware tampaknya menargetkan layanan Remote Desktop Protocol yang terbuka untuk umum, bahkan yang berjalan pada port TCP non-standar, sangat penting untuk menempatkan layanan ini di belakang firewall.
Idealnya, tidak ada Layanan Remote Desktop Protocol yang boleh diekspos secara publik di Internet dan hanya dapat diakses melalui VPN.
|
Baca lainnya: |
Sumber berita:
