in: Direct Release | July 21, 2016 | by: Jagat Review

Direct Release: Ikhtisar Ransomware Juni Sarat Kemunculan Varian dan Jenis Baru

JAKARTA, 21 Juli 2016 – Wabah ransomware hingga saat ini belum juga menunjukkan tanda-tanda akan segera berhenti dalam waktu dekat. Justru sebaliknya. Dari pantauan Trend Micro, tak hanya jenis-jenis ransomware baru ramai bermunculan, namun tercatat juga para kreator ransomware juga makin getol melakukan pembaruan-pembaruan pada varian-varian ransomware lama yang mereka ciptakan sebelumnya. Perpetaan ransomware kini makin ramai sejak dua tahun kemunculannya akibat ulah para penjahat siber yang gencar untuk mengubah-ubah taktiknya dengan menggunakan malware ekstorsi agar mudah disisipkan dan berpotensi mendatangkan pundi-pundi yang lebih besar. Terungkapnya pasar siber gelap pada Mei 2016 yang khusus menjajakan produk dan layanan hasil jarahan menggunakan ransomware membuat komoditi haram tersebut meroket harganya.

Maraknya kemunculan jenis-jenis dan varian baru ransomware dengan ragam model bisnis dan distribusi yang kian menggiurkan menandakan keberhasilan aksi kejahatan menggunakan ransomware. Pada lima bulan pertama di tahun 2016 saja terungkap 50 jenis ransomware baru. Ini artinya, dalam sebulan, rata-rata ada 10 jenis ransomware baru yang dilancarkan ke publik oleh para penjahat siber.

Perpetaan ransomware kian membuncah di bulan Juni ini. Berikut beberapa peristiwa terkait ransomware yang terjadi di bulan Juni lalu yang layak untuk disimak.

 

CryptXXX

Selain marak dengan kemunculan jenis-jenis ransomware baru, bulan Juni juga sarat dengan dilakukannya pembaruan-pembaruan taktik pada varian-varian lama oleh para pembuat ransomware. Seperti kasus CryptXXX, misalnya. Ketika pertama kali ditemukanCryptXXX sempat dikira sebagai Reveton, pendahulunya. Selain mampu mengenkripsi file korban, CryptXXX ditengarai juga memiliki kemampuan untuk mencuri Bitcoin.

Semenjak pertama kali jerat kejahatan “free decryption tool” diunggah secara online beberapa waktu lalu, CryptXXX kemudian disempurnakan lagi dan dilengkapi dengan enkripsi yang tangguh. Dilakukan juga penyempurnaan pada antarmuka, pesan ransomware dan situs tempat melakukan pembayaran tebusan. Versi terbaru yang kemudian dijuluki CryptXXX 3.0 menerapkan algoritma enkripsi yang mampu menangkal penggunaan peranti dekriptor yang ada. Setelah berhasil menginfeksi, ransomware akan mendandani desktop wallpaper dengan gambar yang persis dengan situs untuk pembayaran tebusan. Korban diberi tenggat waktu 90 hari untuk membayar tebusan tersebut. Jika tidak, maka mereka menggandakan tuntutannya hingga setara dengan dua Bitcoin per file.

Tak lama kemudian, ada lagi pembaruan yang mereka lakukan. CryptXXX 3.1 hadir dilengkapi dengan fitur pindai jaringan yang mampu memindai file yang memiliki kecocokan ekstensi dengan yang ada di dalam daftar CryptXXX akan ditimpa dan dienkripsi dengan ekstensi .cryp1. Bahkan pada tanggal 6 Juni lalu, peneliti Trend Micro berhasil mencium bahwa developer dibalik CryptXXX 3.100 telah beralih menggunakan Neutrino Exploit kit untuk pendistribusiannya.

 

Crysis

Sejak kemunculannya pertama kali di bulan Februari, untuk pertama kalinya peneliti berhasil mendeteksi jenis baru ransomware yang menarget ke individu dan perusahaan sekaligus. Kehadirannya sempat mengisi tajuk keamanan di awal bulan Juni dan dijuluki sebagai penerus TeslaCrypt. Crysis merebak melalui email beracun yang memuat lampiran dengan dua ekstensi file yang membuat file executable dikemas seolah-olah bukan. Selain menumpang email-email spam yang memuat URL jahat, varian ini juga didistribusika sebagai installer untuk aplikasi-aplikasi asli, seperti WinRAR, Microsoft Excel and iExplorer.

Setelah mengenkripsi lebih dari 185 jenis files, baik di fixed drive maupun removable drive, jenis ransomware ini lantas menodong korban untuk membayar sejumlah tebusan dengan nominal bervariasi, antara US$455 hingga $1.022 dalam bentuk Bitcoin. Crysis juga mampu mengenkripsi file sistem yang membuat sistem menjadi tidak stabil lagi.

Selain menawan file di komputer korban, ransomware jenis ini juga mampu mengumpulkan credentials pengguna yang mereka temukan dari hasil menyisir komputer korban. Kemudian mengambil alih seluruh wewenang administrator di semua akun. Selain kemampuannya untuk menginfeksi Windows dan Mac, varian ini juga memiliki kemampuan untuk melakukan propagasi di jaringan untuk menginfeksi perangkat lain yang ada di jaringan yang sama.

 

BlackShades

Untai ransomware baru berjuluk BlackShades atau SilentShades yang terdeteksi oleh Trend Micro sebagai CRYPSHED/ Troldesh membidik pengguna berbahasa Inggris dan Rusia dengan permintaan tebusan sebesar $30 yang dibayarkan dalam bentuk Bitcoins melalui sebuah platform pembayaran online, Paypal. Menariknya, kreator malware Blackshades juga meninggalkan serangkaian kode tertentu yang telah dimodifikasi sedemikian rupa sehingga apabila kode-kode tersebut dicermati lebih dalam akan membuat kita seolah-olah tengah berkomunikasi dengan seorang penjahat yang begitu lihai. Salah satu untai kode yang berhasil diterjemahkan dari Bahasa Rusia berbunyi, “You cannot hack me, I am very hard.” Lainnya berbunyi, “Hacked by Russian Hackers in Moscow Tverskaya Street,” atau “youaresofartocrackMe.”

Malware tersebut diketahui bisa mengenkripsi 195 jenis file menggunakan teknik enkripsi 256-bit AES. File-file tersebut ditemukan di drive C:// seperti di folder Downloads, Documents, Desktop, Pictures, Music, Videos, dan Public. ID si korban kemudian akan ditaruh di semua folder dan di desktop. Setelahnya, semua ekstensi file yang terenkripsi akan berubah menjadi .silent.

Dalam prosesnya, BlackShades berkomunikasi dengan server C&C miliknya untuk menyiarkan pembaruan jumlah file terenkripsi di komputer. Sebuah file dengan nama Hacked_Read_me_to_decrypt_files.Html akan muncul di desktop yang berfungsi sebagai tulisan pesan yang berisi ancaman untuk meminta tebusan. File tersebut ditaruh juga di folder start-up oleh mereka. Sehingga setiap korban membuka komputer, selalu disambut dengan tulisan pesan ancaman tersebut. Kemudian malware akan menghapus dirinya sendiri dan meningkalkan secarik pesan ancaman untuk tebusan saja. Korban diberi waktu 96 jam untuk membayar tebusan atau bila tidak file yang sudah terenkripsi akan dihapus semua. Meskipun, peneliti melihat, pilihan memanfaatkan Paypal untuk membayar tebusan adalah cara yang agak janggal karena mudah ditelusuri jejaknya.

jigsaw

Jigsaw

Ketika pertama kali terlihat, Jigsaw seperti tengah bermain games dengan para korbannya—sehingga selaras dengan namanya yang mengambil nama dari tokoh film Hollywood ternama bernama Saw. Jigsaw meninggalkan secarik tulisan ancaman untuk meminta tebusan dalam Bahasa Inggris dan Portugis dengan diembel-embeli sebuah gambar karakter penjahat ternama, Billy. Jigsaw mengancam akan menghapus semua file jika korban menolak menebusnya dengan besar tebusan yang disyaratkan berkisar US$20 – 150. Kekejian berlanjut. Bila tak ditebus juga, angka uang tebusan akan bertambah tiap jamnya.

Di bulan Juni ini muncul pula varian baru Jigsaw  yang aksinya dibuat seolah “ramah.” Versi lainnya bahkan mengurangi  besar angka tebusan yang diminta disesuaikan dengan kantong korbannya sehingga mereka mau membayar tebusannya. Bahkan lebih jauh lagi, taktiknya dikembangkan lebih jauh lagi sehingga lebih ramah pengguna dengan menyediakan layanan “live chat” agar dapat memandu korban bagaimana langkah-langkah yang harus mereka tempuh. Tautan yang terdapat pada secarik ancaman pada jenis Jigsaw terbaru telah diarahkan ke sebuah website yang telah dilengkapi dengan platform live-chat, bernama onWebChat. Peneliti mencatat bahwa dengan menanamkan “suara manusia” pada platform tersebut bisa menjadi strategi jitu agar korban mau membayar tebusan yang diinginkan.

Varian Jigsaw paling baru berhasil terdeteksi oleh Trend Micro sebagai RANSOM_JIGSAW.F116FN di akhir Juni, menampilkan sebuah catatan berisi ancaman untuk tebusan dengan tema bak Anonymous dengan angka tebusan diminta berkisar antara US$150 hingga US$5.000 dalam bentuk Bitcoins. Cara mengancamnyapun juga tak kalah menakutkan, yakni dengan menyertakan salinan credentials dan identitas penting maupun salinan riwayat rekaman percakapan rahasia korban yang pernah mereka lakukan ke semua kontak mereka. Namun, ancaman ini perlu diverifikasi lebih lanjut mengenai apakah ini hanya gertak sambal belaka atau ancaman betulan.

apocalypse

Apocalypse

Varian baru ransomware lainnya yang berhasil dideteksi kemunculannya di bulan Juni adalah, Apocalypse. Varian ini jembatani komunikasi antara korban dengan pelaku melalui instruksi-instruksi yang wajib dilakukan melalui email kepada pelaku untuk membayar sejumlah uang tebusan setelah data korban berhasil diubah ekstensinya menjadi .encrypted seluruhnya. Apocalypse juga membuat file autorun yang membuat pengguna harus memulai ulang begitu login ke sistem. Pesan berisi ancaman bahwa korban harus menghubungi pelaku dalam tenggat waktu 72 jam atau data yang ditawan akan dihapus. Hal yang menarik adalah calon korban ternyata bisa lolos dari lock screen dan file decryptor atau peranti lain untuk mengambil alih kembali akses ke file-file yang dikunci.

 

FLocker

Trend Micro juga melihat kemunculan kembali mobile lock-screen malware bernama FLocker, meski kali ini lebih canggih karena tidak hanya bisa menginfeksi perangkat Android, namun meningkat ke TV cerdas. Jenis ini pertama kali ditemukan di bulan Mei 2015 terdeteksi sebagai ANDROIDOS_FLOCKER.A). Sejak itu FLocker memiliki lebih dari 7000 varian seperti yang terlihat di bank sampel Trend Micro. Di bulan April terdapat lonjakan jumlah varian mencapai lebih dari 1200 varian berhasil terpantau.

Di pertengahan bulan Juni, periset Trend Micro berhasil mengidentifikasi sebuah varian Trojan dari FLocker yang menyusup ke lembaga US Cyber Police serta lembaga-lembaga lainnya. Setelah berhasil menginfeksi, malware akan memalak korban dengan tebusan sebesar $200 agar file korban yang sudah ditawan bisa dikembalikan seperti sedia kala—di iTunes gift cards. Periset Trend Micro juga mengungkapkan tidak adanya perbedaan mencolok antara varian yang menginfeksi Android dengan jenis yang membidik ke smart TV.

 

 

RAA

Dari hasil pemantauan Trend Micro sebelumnya tentang temuan jenis-jenis ransomware baru, banyak pihak yakin bahwa jenis ini dibuat menggunakan Javascript. Jenis ini dirasa unik karena sengaja dirancang supaya bisa diinterpretasikan oleh pengguna mesin perambah. Namun dari hasil analisis Trend Micro secara lebih mendalam, ditemukan fakta bahwa jenis malware ini dirancang bukan menggunakan Javascript, melainkan menggunakan Jscript—yakni bahasa pemograman scripting yang dirancang khusus untuk sistem berbasis Windows yang dieksekusi oleh Windows Scripting Host Engine melalui Internet Explorer (IE). Para peneliti yakin bahwa ini merupakan kesengajaan supaya dapat mengelabuhi agar terhindar dari upaya pendeteksian dan mudah dalam melancarkan tipu daya.

Pesan berisi ancaman kepada korban dan petunjuk bagi korban dalam membayar tebusan—dengan biaya berkisar antara 0,39 Bitcoin, atau setara US$250—ditulis dalam Bahasa Rusia. Bila menggali lebih dalam ke kode-kode yang digunakannya, ternyata RAA juga bisa membidikkan malware yang mampu mencuri data, bernama FAREIT (atau biasa disebut Pony). Malware jenis ini dikenal piawai untuk mencari di mana credentials korban diletakkan di File Transfer Protocol (FTP) clients, serta software pengelolaan file, email clients, web browser, bahkan dompet bitcoinpun mereka endus lokasinya. Kemudian semua data credentials tersebut akan diambil semua melalui  command-and-control server atau CCS.

 

GOOPIC

Semenjak jatuhnya Angler yang dahulu dikenal sebagai exploit kit paling agresif karena kemampuannya melancarkan exploit di persenjataan mereka ternyata berimbas pada jatuhnya total jumlah kemunculan exploit selama bulan Juni. Meski begitu, kejatuhan ini dinilai menjadi tonggak munculnya sejumlah exploit kit lainnya.

 

Aktivitas exploit kit yang terpantau ternyata berbuntut pada kemunculan jenis ransomware baru bernama Goopic (terdeteksi sebagai RANSOM_GOOPIC.A) ditembakkan oleh exploit kit berjuluk Rig. Goopic menodong korban dengan tebusan sebesar $500. Menariknya, varian ini memberi tenggat waktu yang lebih longgar untuk membayar tebusan.

 

Kozy.Jozy

Ransomware ini melengkapi daftar file untuk dienskripsi dengan ekstensi-ekstensi baru sebelum melacak latar belakang korban dan menuliskan ancaman dalam Bahasa Rusia. File dienkripsi dengan RSA-2048 cipher yang kuat. Volume Shadow Copies di komputer milik korban dihapus agar ga ada celah untuk membuat file cadangan. Korban disuguhi email pelaku untuk membayar tebusan berupa Bitcoin. Dilaporkan pula bahwa koden ransomware diperjualbelikan pula di forum-forum di dark web.

 

MIRCOP

Di akhir Juni, muncul pula jenis ransomware baru yang punya perilaku unik bernama MIRCOP (terdeteksi sebagai RANSOM_MIRCOP.A). MIRCOP seolah menimpakan semua kesalahan ke korban dan kadang bilang bahwa korban telah bersedia mengirimkan uang tebusan. Parahnya, pesan ancaman dengan gambar latar belakang orang bertopeng Guy Fawkes justru balik menyalahkan korban karena telah “mencuri dari mereka,” sehingga menurut mereka apa yang mereka lakukan terhadap korban adalah bentuk reaksi semata. Padahal tidak betul sama sekali.

Hingga tanggal 23 Juni, tercatat bahwa ransomware ini telah meminta tebusan setara dengan 48,48 bitcoins (atau sekitar $28.730,70) dari para pengguna—seperti dilansir oleh periset di Trend Micro. Di baris akhir pesan ancaman, pelaku menuliskan pula alamat Bitcoin, tidak seperti jenis ransomware lain yang menuliskan langkah-langkah instruksi bagaimana proses penebusan file kepada korban. MICROP disinyalir beredar melalui email spam yang terpapar dokumen yang meyaru sebagai aparat bea cukai. Terlepas dari kemahirannya untuk mengenkripsi file, jenis ransomware ini juga mampu menambang sejumlah data credentials yang terdapat pada beberapa program, seperti Mozilla Firefox, Google Chrome, Opera, Filezilla, dan Skype.

Tags:

Share This:

Comments

RANDOM ARTICLES