Robin Hood adalah tokoh pahlawan di Inggris, meskipun pekerjaannya merampok, Robin merampok dari mereka yang kaya dan membagikan curiannya kepada mereka yang miskin dan membutuhkannya. Dan Robin Hood berulang kali diadaptasi di dunia sinema, berbagai versi filmnya seringkali memenuhi layar kaca. Tapi itu di dunia sinema, di dunia maya, Robin hood bermalih rupa menjadi ransomware.
Ransomware RobinHood adalah pemain baru dalam dunia siber yang bekerja menargetkan perusahaan dan komputer di jaringannya. Ransomware ini tidak didistribusikan melalui spam melainkan melalui metode lain, yang dapat mencakup remote desktop services yang diretas atau trojan lain yang menyediakan akses ke pelaku.
Mengamati RobinHood
Peneliti keamanan telah mencoba melakukan rekayasa balik sampel yang diperoleh, hasil dari uji coba tersebut diketahui bahwa pada pelaksanaannya ia mampu menghentikan 181 layanan Windows yang terkait dengan antivirus, database, server mail, dan perangkat lunak lain yang dapat menjaga file tetap terbuka dan mencegah enkripsi mereka. Ini dilakukan dengan mengeluarkan perintah “sc.exe stop” seperti yang ditunjukkan di bawah ini.
cmd.exe /c sc.exe stop AVP /y
Selain menghentikan layanan Windows, RobbinHood juga memutus semua jaringan berbagi dari komputer menggunakan perintah berikut:
cmd.exe /c net use * /DELETE /Y
Ini berarti bahwa setiap komputer ditargetkan secara individual, termasuk komputer lain tidak dienkripsi melalui jaringan berbagi yang terhubung. Menunjukkan bahwa payload sedang didorong ke setiap mesin individual melalui pengontrol domain atau melalui framework seperti Empire PowerShell dan PSExec.
Ransomware sekarang akan mencoba membaca kunci enkripsi RSA publik dari C:\Windows\Temp\pub.key. Jika kunci ini tidak ada, ia akan menampilkan pesan tertentu di layar. Jika memiliki kunci, ia akan mulai mengenkripsi file di komputer.
Ketika ransomware mulai mengenkripsi file, kunci AES dibuat untuk setiap file. Ransomware kemudian akan mengenkripsi kunci AES dan nama file asli dengan kunci enkripsi RSA publik dan menambahkannya ke file yang dienkripsi. Setiap file terenkripsi diubah namanya menggunakan format Encrypted_
[randomstring]
.enc_robbinhood.
Saat berjalan, RobbinHood memiliki kemampuan untuk mengirimkan hasil debug ke konsol. Fitur tersebut saat ini dinonaktifkan dalam versi ransomware yang didistribusikan dan tidak memiliki value runtime untuk mengaktifkannya.
Ransomware akan membuat banyak file log di bawah folder C:\Windows\Temp. File-file ini disebut rf_, ro_l, dan ro_s. Saat ini tidak diketahui untuk apa setiap file log selain dari file rf_s, yang digunakan untuk mencatat pembuatan catatan tebusan di setiap folder. Setelah enkripsi selesai, file log ini akan dihapus. Selain itu, jika output konsol diaktifkan di ransomware, ketika selesai mengenkripsi komputer, ia akan menampilkan pesan terakhir yang menyatakan “Enjoy buddy :)))”
Saat mengenkripsi komputer ransomware RobinHood juga akan membuat empat catatan tebusan yang berbeda bernama _Decrypt_Files.html, _Decryption_ReadMe.html, _Help_Help_Help.html, dan _Help_Important.html.
Catatan tebusan ini berisi informasi tentang apa yang terjadi pada file korban dan alamat bitcoin yang dapat mereka gunakan untuk melakukan pembayaran tebusan. Pembayaran tebusan saat ini ditetapkan sebesar 3 bitcoin per sistem yang terkena dampak atau 13 bitcoin untuk seluruh jaringan.
Sayangnya, saat ini tidak ada kelemahan yang ditemukan di ransomware dan tidak ada cara untuk mendekripsi file secara gratis.
Mitigasi RobbinHood Ransomware
Seperti biasa dalam menghadapi setiap permasalahan yang muncul di dunia siber, ESET selalu memberikan masukan bagaimana menghadapi gangguan yang datang. Terutama tindakan pencegahan, karena seperti pepatah katakan bahwa lebih baik mencegah daripada mengobati, sebagai berikut:
Ransomware hanya merusak jika tidak memiliki cara untuk memulihkan data yang dienkripsi, oleh karenanya sangat penting untuk selalu memiliki cadangan file yang dapat diandalkan. Cadangan ini harus disimpan offline dan tidak dapat diakses oleh ransomware, yang kita semua pahami bahwa pengembang ransomware juga menyertakan fitur yang menargetkan data cadangan.
Meskipun ransomware ini tidak disebarkan melalui spam, ada kemungkinan bahwa ransomware ini sedang diinstal oleh Trojan. Karena itu, penting agar semua pengguna dilatih tentang cara mengidentifikasi dengan benar spam jahat dengan benar dan tidak membuka lampiran apa pun tanpa terlebih dahulu mengonfirmasi siapa dan mengapa mereka dikirim.
Penting juga untuk memastikan bahwa jaringan Anda tidak membuat Remote Desktop Services dapat diakses publik melalui Internet. Sebagai gantinya, Anda harus meletakkannya di belakang firewall dan membuatnya hanya dapat diakses melalui VPN.
Penutup ESET menyarankan pada para pengguna komputer untuk memasang antivirus yang memiliki anti ransomware seperti layaknya ESET. Dan sebagai poin penting dalam memabngun skema pertahanan keamanan yang komprehensif, pastikan menerapkan Network Traffic Analysis atau teknologi Analisis Lalu Lintas jaringan untuk apat mendeteksi setiap aktivitas yang keluar dan masuk dalam jaringan perusahaan secara terperinci.
Para peneliti ESET telah menemukan penambang cryptocurrency lintas platform tidak biasa yang disebut LoudMiner. LoudMiner menggunakan perangkat lunak virtualisasi – QEMU kependekan dari Quick Emulator di macOS dan VirtualBox di Windows untuk menambang cryptocurrency di mesin virtual Tiny Core Linux.
LoudMiner dibundel dalam salinan bajakan dari jenis antarmuka plugin perangkat lunak audio yang disebut VST (Virtual Studio Technology). LoudMiner kemudian menggunakan mesin yang dikompromikan untuk menambang cryptocurrency dan menggunakan SCP (Secure File Copy) dengan nama pengguna tertanam dan kunci SSH pribadi untuk memperbarui diri.
“LoudMiner menargetkan aplikasi audio, mengingat mesin yang menjalankan aplikasi ini sering memiliki kekuatan pemrosesan yang lebih tinggi,” kata Marc-Etienne M. Léveillé, peneliti malware senior, ESET.
Distribusi
Ada 137 aplikasi terkait VST, 42 untuk Windows dan 95 untuk macOS tersedia di situs web berbasis WordPress tunggal dengan domain terdaftar pada 24 Agustus 2018. Aplikasi pertama Kontakt Native Instruments 5.7 untuk Windows diunggah pada hari yang sama. Ukuran aplikasi membuatnya tidak praktis untuk menganalisis semuanya, tetapi dapat diasumsikan mereka semua adalah Trojanized.
Aplikasi itu sendiri tidak di-host di situs berbasis WordPress, tetapi pada 29 server eksternal. Admin situs juga sering memperbarui aplikasi dengan versi yang lebih baru, sehingga sulit untuk melacak versi pertama penambang.
Mengenai sifat aplikasi yang ditargetkan, menarik untuk mengamati bahwa tujuan mereka terkait aplikasi produksi audio, dengan demikian mesin yang mereka instal harus memiliki daya pemrosesan yang baik dan konsumsi CPU yang tinggi tidak akan mengejutkan pengguna. Selain itu, aplikasi ini biasanya kompleks, sehingga tidak terduga bagi mereka untuk menjadi file besar. Peretas menggunakan ini untuk keuntungan mereka untuk menyamarkan gambar VM. Selain itu, keputusan untuk menggunakan mesin virtual sangat luar biasa dan ini bukan sesuatu yang kita lihat secara rutin.
Analisis aplikasi bajakan
Jika melihat keduanya, dapat disimpulkan bahwa analisis macOS dan Windows memiliki kesamaan:
- Aplikasi dibundel dengan perangkat lunak virtualisasi, gambar Linux dan file tambahan yang digunakan untuk mencapai persistensi.
- Pengguna mengunduh aplikasi dan mengikuti instruksi terlampir tentang cara menginstalnya.
- LoudMiner diinstal terlebih dahulu, perangkat lunak VST yang sebenarnya setelahnya.
- LoudMiner menyembunyikan dirinya dan menjadi persisten saat reboot.
- Mesin virtual Linux diluncurkan dan penambangan dimulai.
- Skrip di dalam mesin virtual dapat menghubungi server C&C untuk memperbarui penambang (konfigurasi dan binari).
Saat menganalisis berbagai aplikasi, ESET telah mengidentifikasi empat versi penambang, sebagian besar didasarkan pada bagaimana ia dibundel dengan perangkat lunak aktual, domain server C&C, dan sesuatu yang ESET yakini adalah string versi yang dibuat oleh pengembang malware.
macOS
ESET telah mengidentifikasi tiga versi macOS dari malware tersebut sejauh ini. Semuanya termasuk dependensi yang diperlukan untuk menjalankan QEMU di installerdata.dmg dari mana semua file disalin ke/usr/local/bin dan memiliki izin yang sesuai yang ditetapkan. Setiap versi penambang dapat menjalankan dua gambar sekaligus, masing-masing mengambil 128 MB RAM dan satu inti CPU. Persistensi dicapai dengan menambahkan file plist di /Library/LaunchDaemons dengan RunAtLoad disetel ke true. Mereka juga memiliki KeepAlive yang disetel ke true, memastikan proses akan dimulai kembali jika dihentikan. Setiap versi memiliki komponen ini:
- Gambar QEMU Linux.
- Skrip shell yang digunakan untuk meluncurkan gambar QEMU.
- Daemon digunakan untuk memulai skrip shell saat boot dan membuatnya tetap berjalan.
- Skrip shell monitor CPU dengan daemon yang menyertainya yang dapat memulai/menghentikan penambangan berdasarkan penggunaan CPU dan apakah proses Monitor Aktivitas berjalan.
Windows
Dari string yang diekstrak dari aplikasi, ESET mendefinisikan satu-satunya versi Windows yang terlihat sejauhin sebagai versi 4. Seperti yang kami sebutkan sebelumnya, logikanya sangat mirip dengan versi macOS. Setiap aplikasi Windows dikemas sebagai penginstal MSI yang menginstal kedua aplikasi “crack”, dengan popup trust untuk menginstal driver VirtualBox ketika menjalankan installer VST “cracked” dari vstcrack [.] Com.
VirtualBox diinstal dalam nama foldernya yang biasa (C:\Program Files\Oracle); Namun, atribut direktori diatur ke “hidden”. Kemudian installer menyalin gambar Linux dan VBoxVmService yaitu layanan Windows yang digunakan untuk menjalankan mesin virtual VirtualBox sebagai layanan ke C:\vms, yang juga merupakan direktori tersembunyi. Setelah penginstalan selesai, penginstal menjalankan skrip batch yang dikompilasi dengan BAT2EXE untuk mengimpor gambar Linux dan menjalankan VmServiceControl.exe untuk memulai mesin virtual sebagai layanan.
Mitigasi
Saran terbaik untuk melindungi diri dari ancaman semacam ini adalah tidak mengunduh salinan perangkat lunak komersial bajakan. Namun, ada beberapa petunjuk yang dapat membantu Anda mengidentifikasi kapan suatu aplikasi berisi kode yang tidak diinginkan:
- Munculan trust dari installer “tambahan” yang tidak terduga (dalam hal ini adaptor jaringan Oracle).
- Konsumsi CPU tinggi oleh proses yang tidak Anda instal (QEMU atau VirtualBox dalam kasus ini).
- Layanan baru ditambahkan ke daftar layanan startup (Windows) atau Daemon (macOS).
- Koneksi jaringan ke nama domain yang ingin tahu (seperti layanan pembaruan [.] Info atau layanan pemeriksaan sistem [.] Di sini).
