Meskipun ada banyak jenis ransomware, salah satu versi yang lebih menonjol dan berbahaya adalah Emotet. Emotet adalah komponen kunci dalam kampanye ransomware, Dan negara paling umum yang menjadi target adalah Jerman, Austria, Swiss, Amerika Serikat, Inggris Raya, dan Kanada.
Apa Itu Emotet?
Emotet adalah Trojan yang disewakan melalui model malware as a service (MaaS). Ini berarti penjahat dunia maya dapat mengunduh paket, seringkali dengan beberapa ratus dolar atau biaya berlangganan bulanan, dan mengarahkan serangan ke bisnis dan individu.
Muatan awal biasanya dikirimkan melalui email, dokumen yang terinfeksi, atau situs web, melepaskan skrip, makro, atau kode yang beroperasi sebagai worm yang menginfeksi berbagai aplikasi dan sistem perangkat lunak, seperti buku alamat Outlook atau cloud.
Dan dalam banyak kasus, Emotet sering hibernasi selama 30 hingga 45 hari sebelum meluncurkan serangan ransomware.
Emotet sangat efektif karena terus-menerus mengunduh komponen malware saat ia berhasil melewati sistem. Banyak alat keamanan konvensional, seperti firewall tidak efektif melawannya karena Emotet membuat saluran terenkripsi yang tidak dapat dideteksi oleh pertahanan jaringan.
Kemudian, setelah Emotet mengambil dan mengenkripsi file, pencuri dunia maya meminta tebusan, sering kali dibayarkan melalui mata uang siber yang tidak dapat dilacak, seperti Bitcoin. Hebatnya, pelaku mengoperasikan Emotet sangat mirip dengan menjalani bisnis pada umumnya, termasuk menawarkan dukungan untuk pelanggan.
Serangan Emotet
Biasanya, infeksi terjadi ketika seseorang mengklik link dalam email, seringkali melalui serangan phising, yang mengarahkan pengguna ke situs atau layanan yang mengunduh “dropper” awal.
Setelah makro atau kode ini berada di komputer, ia mulai mencari komputer lain yang terhubung dan menyebar, selanjutnya mendistribusikan malware. Seringkali menggunakan Microsoft Outlook untuk menghasilkan email.
Saat Emotet menginfeksi sistem, ia melakukan serangan brute force pada akun, berusaha memecahkan kata sandi dan mendapatkan akses ke data yang tersimpan. Pada titik tertentu, ia menangkap dan mengenkripsi file-file ini.
Setelah pelaku memegang data terenkripsi dan berhasil menguncinya, mereka menuntut uang tebusan. Label harganya bisa berkisar dari beberapa ribu dolar hingga jutaan dolar.
Metode email
Email awal mungkin terlihat seperti berasal dari sumber tepercaya, seperti manajer atau eksekutif perusahaan teratas, atau mungkin menawarkan tautan ke situs atau layanan yang tampak sah.
Biasanya bergantung pada teknik kompresi file, seperti ZIP, yang menyebarkan infeksi melalui berbagai format file, termasuk .doc, docx, dan .exe. Ini menyembunyikan nama file yang sebenarnya saat berpindah dalam jaringan.
Dokumen ini mungkin berisi frasa seperti detail pembayaran atau perbarui file sumber daya manusia Anda untuk mengelabui penerima agar mengaktifkan payload. Beberapa pesan baru-baru ini berkisar tentang COVID-19.
Mereka sering kali berasal dari alamat email yang sah di dalam perusahaan dan mereka dapat menyertakan file jinak dan terinfeksi. Terlebih lagi, Emotet dapat mendeteksi lingkungan tempat ia berjalan. Misalnya, ia mengetahui saat ia berada di dalam mesin virtual (VM) dan tetap tidak aktif untuk menghindari deteksi dari pemindai malware.
Emotet menggunakan server command and control (C2) untuk menerima pembaruan secara diam-diam. Hal ini memungkinkan pelaku untuk memperbarui kode malware dan menanam Trojan lain. Mungkin juga untuk membersihkan komputer, tetapi malware tersebut muncul kembali.
Emotet Begitu Efektif
Emotet ada dalam beberapa versi berbeda dan menggabungkan desain modular. Ini membuatnya lebih sulit untuk diidentifikasi dan diblokir.
Mereka juga menggunakan teknik social engineering untuk mendapatkan akses ke sistem, dan itu bagus dalam menghindari deteksi. Terlebih lagi, operasi Emotet terus berkembang. Beberapa versi mencuri kredensial perbankan dan data perusahaan yang sangat sensitif, dan mengancam akan merilisnya.
Melawan Emotet
Ada sejumlah cara untuk mengurangi risiko infeksi dan masalah yang ditimbulkan oleh Emotet, sebagai berikut:
-
- Pertama, sebaiknya gunakan perangkat lunak keamanan yang mengidentifikasi dan memblokir email yang berpotensi berbahaya.
-
- Penting juga untuk mengamankan semua perangkat yang terkelola dan tidak terkelola yang terhubung ke jaringan.
-
- Perlindungan lainnya termasuk kata sandi yang kuat dan otentikasi multifaktor, penambalan yang konsisten, dan penggunaan perangkat lunak intelijen ancaman.
-
- Karyawan harus belajar cara mengenali email yang mencurigakan.
