WannaCry Wannabe Incar Gamer

Ransomware yang pernah menggemparkan dunia ini beraksi lagi, ransomware WannaCry Wannabe Incar gamer belakangan diketahui menebar teror di antara pemain game.

Ransomware diketahui menargetkan gamer dari first person shooter Enlisted, menggunakan situs web palsu untuk menyebarkan versi trojan dari game tersebut.

Enlisted adalah game resmi yang diterbitkan oleh Gaijin Entertainment pada tahun 2021, memiliki antara 500.000 dan satu juta pemain bulanan aktif.

Gim ini gratis, sehingga pelaku dapat dengan mudah mengunduh penginstal dari penerbit dan memodifikasinya untuk mendistribusikan muatan berbahaya kepada penggunanya.

Ransomware dibundel dengan penginstal game berpura-pura menjadi versi ketiga dari WannaCry, bahkan menggunakan ekstensi file ‘.wncry’ pada file terenkripsi.

Baca juga: Ransomware Eksploitasi Aplikasi MOVEit

Ransomware WannaCry

Menurut para peneliti yang menganalisis, varian baru “WannaCry” ini didasarkan pada loker Python ‘Crypter’ open-source, yang dibuat untuk tujuan pendidikan.

Perlu dicatat bahwa ini bukan pertama kalinya seseorang mencoba meniru WannaCry, mungkin untuk mengintimidasi korban dan mengamankan pembayaran tebusan cepat.

Penginstal yang diunduh dari situs web palsu adalah “enlisted_beta-v1.0.3.115.exe”, yang memasukkan dua file yang dapat dieksekusi pada disk pengguna jika diluncurkan, yaitu “ENLIST~1” (permainan sebenarnya) dan “Enlisted” (Python peluncur ransomware).

Ransomware membuat mutex saat inisialisasi untuk menghindari beberapa instance yang berjalan di komputer yang terinfeksi.

Kemudian ia mem-parsing file konfigurasi JSON-nya, yang menentukan:

• Jenis file apa yang ditargetkan.
• Direktori mana yang harus dilewati.
• Catatan tebusan apa yang akan dibuat.
• Alamat dompet mana yang akan menerima tebusan.
• Dan parameter serangan lainnya.

Selanjutnya, ransomware Crypter memindai direktori kerja untuk file “key.txt” untuk digunakan dalam langkah enkripsi, dan jika tidak ada, ia akan membuatnya.

Enkripsi menggunakan algoritme AES-256, dan semua file yang dikunci menerima ekstensi nama file “.wncry”.

Baca juga: Panduan Ransomware Singkat

Catatan Tebusan & Bot Telegram

Menariknya, ransomware tidak berusaha menghentikan proses atau menghentikan layanan, yang merupakan praktik standar di loker modern.

Namun, ini mengikuti strategi umum menghapus shadow copies dari Windows untuk mencegah pemulihan data.

Setelah proses enkripsi selesai, ransomware menampilkan catatan tebusan pada aplikasi GUI khusus, memberikan waktu tiga hari kepada korban untuk menanggapi permintaan tersebut.

Pelaku juga memodifikasi gambar latar belakang korban untuk memastikan pesan mereka tersampaikan meskipun antivirus korban memblokir peluncuran catatan tebusan berbasis GUI.

Pelaku tidak menggunakan situs Tor atau menyediakan tautan obrolan yang aman kepada para korban, melainkan menggunakan bot Telegram untuk komunikasi.

Larangan nasional pada judul FPS populer di Rusia telah memaksa gamer lokal untuk mencari hiburan di tempat lain, dan Enlisted adalah salah satu alternatif yang dieksplorasi.

Tampaknya pelaku ancaman telah memanfaatkan peluang ini, dan bukan tidak mungkin mereka akan membuat situs palsu lain untuk game serupa dengan lokalisasi Rusia.

Sumber berita:

WeLiveSecurity