Bukan rahasia lagi bahwa peretas dan penjahat dunia maya lebih mahir, inovatif, dan pandai menyembunyikan diri mereka dari kejaran penegak hukum dan peneliti keamanan. Mengaburkan identitas seburam mungkin membuat mereka seakan untaouchable.
Sejalan dengan itu, hal inilah yang kemudian membuat kejahatan siber semakin meningkat drastis, aktivitas tradisional tampaknya beralih ke teknik klandestin yang lebih banyak datang dengan vektor serangan tanpa batas dengan tingkat deteksi rendah.
Peneliti keamanan baru-baru ini menemukan sebuah ransomware penghilang jejak yang diberi nama Sorebrect. Menyuntikkan kode berbahaya ke dalam proses sistem yang sah (svchost.exe) pada sistem yang ditargetkan dan kemudian menghancurkan dirinya sendiri untuk menghindari deteksi dan menghilangkan jejak.
Tidak seperti ransomware tradisional, Sorebrect dirancang untuk menargetkan server dan endpoint perusahaan. Kode yang disuntikkan kemudian memulai proses enkripsi file pada mesin lokal dan jaringan berbagi yang terhubung.
Ransomware Fileless ini pertama-tama mengkompromikan kredensial administrator dengan brute force atau cara lain dan kemudian menggunakan utilitas baris perintah Microsoft Sysinternals PsExec untuk mengenkripsi file.
PsExec memungkinkan pelaku untuk menjalankan perintah yang dijalankan secara remote, daripada menyediakan dan menggunakan keseluruhan sesi login interaktif, atau mentransfer malware secara manual ke mesin remote seperti di RDP.
Enkripsi Jaringan Berbagi
Sorebrect memindai jaringan lokal untuk komputer lain yang terhubung dengan berbagi jaringan terbuka dan file pengunci yang tersedia juga pada mereka. Jika jaringan berbagi dibuat sedemikian rupa sehingga ada orang yang terhubung dengannya hingga memiliki akses menulis dan membaca ke sana, maka ia juga akan dienkripsi.
Ransomware kemudian menghapus semua log event menggunakan wevtutil.exe dan shadow copies menggunakan vssadmin pada mesin terinfeksi yang dapat memberikan bukti forensik seperti file yang dijalankan pada sistem dan catatan waktu mereka, dengan menghapus seluruh bukti yang kemudian membuat ancaman ini sulit dideteksi.
Sorebrect, bagaimanapun bukanlah keluarga ransomware pertama yang menyalahgunakan PsExec, sebelumnya ada ransomware SamSam, Petya, dan turunannya PetrWrap juga mengeksploitasi utilitas ini untuk menginstal ransomware pada server atau endpoint yang dikompromikan. Sementara Sorebrect menyebarkan PsExec dan melakukan injeksi kode.
Selain itu, Sorebrect menggunakan protokol jaringan Tor dalam upaya untuk menganonimkan komunikasinya dengan server command & Control (C&C). Dengan cara ini para pelaku kejahatan siber terutama ransomware menghilangkan jejak atau menyembunyikan diri, seperti hampir semua malware lainnya.
Menyebar ke Seluruh Penjuru Dunia
Ransomware ini memang sengaja dirancang untuk menargetkan sistem dari berbagai industri termasuk manufaktur, teknologi, dan telekomunikasi. Sasaran-sasaran yang bisa memberi pengambangnya mendapatkan banyak keuntungan jika berhasil menyandera data korbannya.
Sorebrect pada awalnya menargetkan negara-negara Timur Tengah seperti Kuwait dan Lebanon, namun sejak bulan lalu, ancaman ini telah mulai menginfeksi banyak perusahaan di Kanada, China, Kroasia, Italia, Jepang, Meksiko, Rusia, Taiwan, dan A.S. Dan ada kemungkinan serangan Sorebrect cepat atau lambat akan menginvasi Indonesia yang sedang ramai membangun di berbagai bidang.
Dengan potensi dampak dan potensi keuntungan ransomware, tidak mengherankan jika Sorebrect muncul di berbagai penjuru dunia, atau bahkan di dunia kejahatan bawah tanah di mana hal itu dapat dijajakan sebagai layanan.
Ini bukan pertama kalinya para peneliti menemukan ransomware tanpa jejak. Dua bulan yang lalu, para peneliti menemukan sebuah serangan DNSMessenger yang benar-benar Fileless dan menggunakan kemampuan messaging TXT untuk menguasai sistem.
Pada bulan Februari, juga telah ditemukan malware palsu yang tinggal hanya dalam memori komputer yang dikompromikan, ditemukan menargetkan bank, perusahaan telekomunikasi, dan organisasi pemerintah di 40 negara.
Mitigasi Ransomware
Karena ransomware tidak menargetkan individu tapi organisasi, sysadmin dan profesional keamanan informasi dapat melindungi diri mereka sendiri dengan cara:
- Membatasi hak akses pengguna: Faktor signifikan yang mengekspos pangsa jaringan ke ransomware dengan memberi izin penuh kepada pengguna.
- Membatasi hak istimewa untuk PsExec: Batasi PsExec dan berikan izin untuk menjalankannya hanya kepada administrator sistem.
- Menjaga sistem dan jaringan tetap selalu update: Selalu perbaiki sistem operasi, software, dan aplikasi yang lain untuk terus diperbarui.
- Back up data secara teratur: Jaga dan lindungi semua file dan dokumen penting, simpan secara rutin back up di mana salinan data tersebut di simpan dalam penyimpanan eksternal yang tidak selalu terhubung ke PC.
- Mengadopsi keamanan siber: Mendidik karyawan tentang bahaya malware, vektor ancaman dan parameter keamanan yang selama ini selalu memainkan peran utama dalam organisasi mana pun.
Sumber berita:
http://thehackernews.com
http://www.securityweek.com
