Shark, Ransomware as a Service

Peselancar di dunia maya harus bersiap menghadapi ancaman baru dari sebuah ransomware yang namanya terinspirasi oleh hewan buas penguasa lautan, ransomware Shark begitu namanya yang saat ini mulai menjadi momok baru bagi pengguna internet.

Shark adalah proyek ransomware yang akan memudahkan kriminal untuk menciptakan ransomware mereka sendiri sesuai dengan yang mereka inginkan tanpa perlu keahlian khusus, cukup hanya dengan mengisi formulir dan menekan tombol.

Istilah ini dikenal sebagai Ransomware as a Service atau RaaS yang belakangan menjadi tren penyebaran malware yang akan membuat serangan cyber semakin bertambah masif bagi pengguna internet. Proyek Ransomware Shark adalah program RaaS terbaru yang kini sedang ramai ditawarkan dan memberikan peluang bagi siapa saja untuk menjadi distributornya.

Pengembang ransomware Shark membuat perjanjian yang saling menguntungkan dengan para distributor malware, pengembang akan mendapatkan 20% dari pembayaran uang tebusan dan 80% sisanya diberikan kepada distributor.

Proyek Ransomware Shark mulai beraksi sejak bulan Juli 2016 dan uniknya mereka lebih memilih menggunakan situs WordPress ketimbang situs dengan jaringan TOR yang jauh lebih aman karena sulit dilacak oleh pihak berwajib.

Mungkin tujuan pengembang membuat situs di luar TOR karena ingin menjaring sebanyak mungkin distributor untuk membantu menyebarkan ransomware ke seluruh dunia.

Siapa saja bisa menjadi distributor Shark, hanya dengan mengunjungi situs dan klik tombol unduh untuk mengunduh file zip yang disebut PayloadBundle.zip. File zip yang terunduh berisi pembangun konfigurasi ransomware disebut Payload Builder.exe, catatan peringatan yaitu Readme.txt dan ransomware executable Shark.exe.

Downloader akan menjalankan Payload Builder.exe untuk menghasilkan konfigurasi kustom yang akan digunakan untuk mengelola ransomware.

Membuat Ransomware Sendiri

Kebanyakan ransomware as a service menawarkan penggunaan situs pengembang untuk mengkonfigurasi executable dan kemudian mengunduh ransomware yang sudah disesuaikan.

Namun berbeda dengan Shark yang memberikan executable dasar ransomware sehingga memberi kebebasan bagi para penjahat cyber mengkonfigurasi sendiri dengan mengubanh fungsi dari ransomware tersebut.

Proyek Ransomware Shark memberikan banyak contoh bagaimana mengkonfigurasi ransomware tersebut. Pilihan konfigurasi ini termasuk folder untuk mengenkripsi, tipe file yang menjadi target, negara yang menjadi sasaran, berapa nilai tebusan untuk setiap negara dan alamat email yang akan digunakan untuk mengirim pemberitahuan saat ransomware terinstal.

Ketika konfigurasi dimasukkan, akan dihasilkan versi konfigurasi base64, Kode ini yang kemudian digunakan oleh Shark.exe sebagai konfigurasi kustom yang akan dijalankan.

Dengan kemampuan untuk mengutak-atik sendiri konfigurasi ransomware, sekarang semua penjahat cyber punya keleluasaan membuat sendiri ransomware sesuai keinginan hati mereka lalu mendistribusikannya kemana saja mereka suka.

Sampai detik ini Shark.exe masih dianalisis, tetapi satu hal pasti, ransomware ini setiap kali mengenkripsi file akan menambahkan ekstensi .locked dibelakang file. File terenkripsi kemudian akan disimpan dalam %UserProfile%\AppData\Roaming\Settings\files. ini.

Ransomware juga akan mengacak nama executable yang disebut “decrypter” ke dalam folder yang sama.Setelah selesai, ia akan mengeksekusi program decryptor yang menyatakan “Data on this device were locked” dan melalui proses tiga tahap yaitu penjelasan tentang bagaimana membayar tebusan. Korban juga bisa memilih 30 bahasa berbeda untuk tampilan instruksi di layar.

Program ini mengharuskan korban memasukkan alamat email dan melakukan pembayaran ke alamat bitcoin yang ditentukan. Program kemudian menyatakan akan mengirim password kepada korban setelah pembayaran dilakukan.

Sumber berita:

www.bleepingcomputer.com
news.softpedia.com