Telebot, kelompok hacker yang bertanggung jawab atas penyerangan berbagai sistem dan infrastruktur penting di Ukraina berhasil diungkap perilaku ilegal mereka pada Desember 2016 oleh paneliti ESET. Kelompok ini juga diketahui memiliki hubungan dengan BlackEnergy, kelompok penjahat siber lain yang bertanggung jawab atas insiden pemadaman listrik di Ukraina tahun 2015.
Telebot melakukan dua serangan skala besar pada tahun 2016 menggunakan malware KillDisk yang mampu menimpa atau menulis ulang file-file yang menjadi target. Pada serangan pertama, mereka tidak meminta uang tebusan bahkan tidak meninggalkan informasi kontak untuk dihubungi. Baru pada serangan kedua mereka melakukan serangan seperti ransomware, meminta tebusan sebesar 222 BTC atau sekitar 3,3 milyar rupiah. Jumlah yang sangat besar dan sangat tidak lumrah jika dibandingkan dengan malware lain. Hal ini menunjukkan bahwa uang bukan tujuan utama mereka, tetapi menghancurkan perusahaan, itu tujuan mereka.
Memasuki tahun 2017, serangan Telebot tidak juga mereda, mereka terus membabi buta melakukan serangan siber berbahaya bahkan lebih canggih dari sebelumnya. Pada periode antara Januari dan Maret 2017, Telebot menyerang perusahaan software di Ukraina menggunakan VPN untuk meraih akses ke jaringan internal beberapa lembaga keuangan menggunakan dua backdoor. Selama serangan itu, TeleBots juga ikut menambahkan dua buah ransomware dan versi update-nya
Backdoor pertama yang digunakan TeleBots adalah Python/TeleBot.A, yang ditulis ulang dari Python dalam bahasa pemrograman Rust. Fungsinya tetap sama, yaitu adalah backdoor standar yang menggunakan Telegram Bot API untuk menerima perintah dan mengirim respon ke operator malware. Backdoor kedua, ditulis dalam VBS dan dikemas menggunakan program script2exe, program ini sangat disamarkan, tapi memiliki fungsi yang tetap sama seperti dalam serangan sebelumnya. Kali ini backdoor VBS menggunakan server C2 di 130.185.250 [.] 171. Untuk membuat koneksi tidak dicurigai saat log firewall diperiksa, para pelaku mendaftarkan domain transfinance.com [.] Ua dan host alamat IP yang berjalan pada relay Tor bernama severalwdadwajunior.
Telebot juga menggunakan beberapa tool dalam operasi mereka, yaitu sebagai berikut:
- CredRaptor berfungsi sebagai pencuri password.
- Plainpwd adalah Mimikatz yang dimodifikasi untuk memulihkan kredensial Windows dari memori
- SysInternals PsExec digunakan untuk gerakan lateral
Pada tahap akhir serangan, pelaku memasukkan ransomware menggunakan kredensial yang dicuri dan tool SysInternals PsExec. Ransomware baru ini terdeteksi oleh ESET sebagai Win32/Filecoder.NKH. Setelah dijalankan, ransomware mengenkripsi semua file (kecuali file yang terletak di C:\Windows direktori) menggunakan AES-128 dan algoritma RSA-1024. Malware menambahkan ekstensi file .xcrypted ke file yang sudah terenkripsi. Ketika enkripsi dilakukan, malware filecoder ini Membuat file teks !readme.txt Dengan isi sebagai berikut:
Silahkan hubungi kami: openy0urm1nd@protonmail.ch
Telebot juga menggunakan ransomware Linux pada server non Windows. ransomware ini dideteksi ESET sebagai Python/Filecoder.R dan ditulis dalam bahasa pemrograman Python. Kali ini pelaku menjalankan utilitas pihak ketiga seperti openssl untuk mengenkripsi file. Enkripsi dilakukan dengan menggunakan algoritma enkripsi RSA-2048 dan AES-256.
AES-NI
Pada tanggal 18 Mei 2017, ESET melihat aktivitas baru pada keluarga ransomware Win32/Filecoder.AESNI.C atau XData. Ransomware ini menyebar terutama di Ukraina, menurut LiveGrid® Telemetry ESET, malware diciptakan tepat setelah pelaksanaan software M.E.Doc yang banyak digunakan oleh akuntan di Ukraina.
Ransomware Win32/Filecoder.AESNI.C memiliki mekanisme penyebaran memungkinkan untuk melakukan pergerakan lateral otomatis, dalam jaringan LAN pada sebuah perusahaan. Secara khusus, malware Memiliki Mimikatz DLL tertanam yang digunakan untuk mengekstrak kredensial account Windows dari memori PC dikompromikan. Dengan mandat ini, malware mulai menyebar ke dalam jaringan induknya menggunakan utilitas PsExec dari SysInternals.
ESET kemudian merilis decryptor untuk trojan Win32/Filecoder.AESNI, setelah pelaku membeberkan master key karena mengaku bahwa source code mereka telah dicuri. Namun, insiden keamanan ini kurang mendapat perhatian media di dunia, sehingga lolos dari perhatian orang banyak.
DISKCODER.C aka PETYA-Like
27 Juni 2017 wabah Petya menyebar dengan cepat ke seluruh dunia, menyerang dan membahayakan banyak sistem dan infrastruktur kritis dan bisnis lainnya. Malware ini memiliki kemampuan mengganti Master Boot Record (MBR) dengan kode berbahaya. Kode ini diambil dari Win32/Diskcoder.Petya, alasan yang membuat para peneliti kemudian memberi nama dengan ExPetr, PetrWrap, Petya, atau NotPetya.
Namun, tidak seperti ransomware Petya yang asli, pengembang malware Diskcoder.C memodifikasi kode MBR sedemikian rupa sehingga pemulihan tidak mungkin dilakukan. Tapi pelaku juga tidak dapat memberikan kunci dekripsi dan kunci dekripsi tidak dapat diketik di layar tebusan, karena kunci yang dihasilkan berupa karakter yang tidak dapat diterima. Secara visual, bagian MBR dari Diskcoder.C ini terlihat seperti versi modifikasi dari Petya. Awalnya menampilkan pesan yang meniru CHKDSK, utilitas pemeriksaan disk Microsoft, dan selama pemindaian CHKDISK, malware benar-benar mengenkripsi data. Saat enkripsi selesai, kode MBR akan menampilkan pesan berikutnya dengan petunjuk pembayaran, namun seperti yang disampaikan di atas, informasi ini tidak berguna.
Untuk enkripsi file, malware menggunakan algoritma AES-128 dan RSA-2048. Meski enkripsi dapat dikerjakan, proses dekripsi sepertinya tidak mungkin dilakukan, pengembang telah membuat kesalahan yang membuat dekripsi file tidak dapat berfungsi. Menariknya, daftar file ekstensi yang menjadi target sangat mirip dengan daftar file ekstensi dari malware KillDisk yang digunakan pada serangan Desember 2016.
Setelah malware dijalankan, ia coba menyebar menggunakan eksploit kit EternalBlue, memanfaatkan backdoor DoublePulsar. Metode yang sama persis digunakan pada ransomware WannaCryptor. Diskcoder.C juga mengadopsi metode dari ransomware Win32/Filecoder.AESNI.C alias XData menggunakan versi ringan Mimikatz untuk mendapatkan kredensial dan kemudian mengeksekusi malware menggunakan SysInternals PsExec pada mesin lain di LAN. Selain itu, pelaku juga menerapkan metode penyebaran ketiga menggunakan mekanisme WMI.
Ketiga Metode ini digunakan untuk menyebarkan malware di jaringan lokal. Tidak seperti ransomware WannaCryptor, eksploit kit EternalBlue digunakan oleh Diskcoder.C hanya terhadap jaringan komputer lokal atau LAN. Di sisi lain, jika ada perusahaan di luar Ukraina ikut terinfeksi, menurut penyelidikan ESET, hal ini disebabkan karena perusahaan tersebut memiliki koneksi VPN dengan cabang atau mitra bisnis mereka di Ukraina.
Wabah Petya-Like atau Diskcoder.C menunjukkan bahwa pelaku memiliki akses ke server update software legitimate. Dengan menggunakan akses ke server ini, pelaku melakukan update berbahaya yang diterapkan secara otomatis tanpa interaksi pengguna. Itu sebabnya begitu banyak sistem di Ukraina terpengaruh oleh serangan ini. Namun, sepertinya pembuat malware menggampangkan kemampuan penyebaran Diskcoder.C.
Peneliti ESET menemukan bukti yang mendukung teori ini. Secara khusus, ESET mengidentifikasi backdoor PHP berbahaya yang ditempatkan di bawah medoc_online.php di salah satu direktori FTP di server M.E.Doc. Backdoor ini bisa diakses dari HTTP. Namun, itu dienkripsi, jadi pelaku harus memiliki password untuk menggunakannya.
Jadi bisa dikatakan bahwa ada tanda-tanda yang menunjukkan Diskcoder.C dan Win32/Filecoder.AESNI.C bukan satu-satunya keluarga malware yang menggunakan vektor infeksi tersebut. Kita dapat berspekulasi bahwa update berbahaya ini diterapkan secara diam-diam ke jaringan komputer target bernilai tinggi.
Salah satu malware yang dikerahkan melalui mekanisme server update mutakhir M.E.Doc ini adalah backdoor VBS yang digunakan oleh kelompok TeleBots. Kali ini pelaku kembali menggunakan nama domain bertema finansial: bankstat.kiev [.] Ua. Pada hari wabah Diskcoder.C, catatan A domain ini diubah menjadi 10.0.0.1
Sumber berita:
https://www.welivesecurity.com
