Penunggang Gelap Ransomware Petya

Ransomware Petya sudah kita sangat kenal sejak tahun lalu, kini ransom malware ini kembali dengan beberapa modifikasi yang khusus ditujukan untuk mengincar perusahaan-perusahaan kecil.

Varian Petya terbaru ini dinamakan Petya Wrapping atau PetrWrap, senjata baru bagi penjahat siber untuk meretas jaringan perusahaan kemudian menggunakan Windows PsExec Utility untuk menginstal PetrWrap pada server korban dan endpoint.

PetrWrap sebenarnya versi tidak resmi dari ransomware Petya, namun di balik kehadirannya ada pemain baru yang memodifikasi dan membungkus Petya asli dan menambahkan kode sendiri untuk mengeksekusi serangkaian perintah.

Petya Ransomware sendiri merupakan bagian dari keluarga ransomware Trifecta yang diciptakan oleh sekelompok pengembang malware yang menjuluki diri mereka sebagai Janus Secretary. Kelompok ini menyewa akses ke ransomware Petya, Mischa dan GoldenEye melalui portal Ransomware as a Service (RaaS) yang tersedia di Web Gelap.

Orang-orang yang menyewa Petya melalui layanan ini menerima binary yang mereka harus kirim ke korban melalui kampanye spam atau mengeksploitasi metode distribusi berbasis exploit kit.

Ketika binary Petya ini menginfeksi korban, Petya ransomware mengirim kunci enkripsi dan menangani semua operasi pembayaran melalui backend Raas Petya. Penyewa tidak memiliki kontrol penuh atas infeksi Petya, dan mereka hanya menerima bagian dari pembayaran uang tebusan Petya, setelah Janus mengambil bagiannya.

Enkripsi PetrWrap

Aktor ulung di belakang PetrWrap dengan pintar mengambil salah satu binary Petya dan memodifikasinya agar dapat bekerja secara mandiri dari backend RaaS Petya, atau si aktor tidak ingin bergantung pada Petya.

Teknik ini disebut “wrapping,” singkatan dari nama inilah yang kemudian digunakan untuk menamai PetrWrap. Membungkus Petya asli memungkinkan aktor di belakang layar ini untuk mendapatkan keuntungan dari enkripsi rock-solid (currentlu undecryptable) Petya, tapi menyimpan kunci enkripsi dan menangani pembayaran melalui server sendiri.

Selain itu, membungkus binary Petya asli juga memungkinkan mereka untuk memodifikasi ransom note Petya, menghapus gambar tengkorak merah berkedip dan setiap nama Petya. Korban terinfeksi dengan ransomware PetrWrap tidak tahu dan tidak bisa mengatakan bahwa mereka telah terinfeksi dengan versi Petya dimodifikasi, karena tidak disebutkan nama Petya di sana.

Peneliti keamanan yang berpengalaman mungkin akan menebak PetrWrap entah bagaimana berhubungan dengan Petya, sebagaimana ransom note masih terlihat mirip dengan Petya, yang merupakan top keluarga ransomware saat ini yang beroperasi dengan mengunci tabel MFT untuk partisi NTFS dan menmpa MBR dengan kustom bootloader.
PetrWrap dan Samas

PetrWrap berbagi kode aktual dengan Petya, tapi bukan hanya PetrWrap, ransomware yang berbagi modus operandi dengan keluarga ransomware lain. Ada ransomware Samas, yang juga dikenal sebagai Samsam, Kazi, atau RDN/Ransom, yang diinstal secara manual oleh hacker pada endpoint dari jaringan dikompromikan melalui koneksi RDP tak aman

Kelompok PetrWrap beroperasi dengan cara yang sama, dengan mencari server RDP tak aman, lalu meluncurkan serangan brute-force, mengorbankan server, dan menggunakan alat-alat lain untuk meningkat akses dalam jaringan organisasi.

Pada akhirnya, ketika mereka memperoleh akses ke banyak endpoint, mereka menginstal PetrWrap dan menunggu pembayaran, dan berharap korban tidak memiliki backup offline.
Sumber berita:
https://www.bleepingcomputer.com