Ransomware PowerShell Masalah Serius Dunia Siber

Korban ransomware FTCode sekarang memiliki satu hal lagi yang perlu dikhawatirkan dengan malware yang telah ditingkatkan kemampuannya sehingga juga mampu mencuri kredensial pengguna yang disimpan dari email client dan browser web.

FTCode yang dikenali ESET sebagai PowerShell/Filecoder.V adalah ransomware berbasis PowerShell pertama kali ditemukan pada tahun 2013, sebuah malware yang muncul kembali pada Oktober 2019 sebagai muatan terakhir dalam kampanye email spam yang belum lama ini menyebar masif.

Karena sepenuhnya dikembangkan di PowerShell memungkinkannya untuk mengenkripsi perangkat targetnya tanpa harus mengunduh komponen tambahan, sementara juga membuatnya sangat mudah bagi pengembangnya untuk menambahkan fungsionalitas baru.

Fungsionalitas baru FTCode

Dengan berbasis PowerShell memudahkan pengembang ransomware mensuplai fungsi-fungsi baru sesuai dengan kebutuhannya, berikut merupakan beberapa fungsionalitas yang baru saja ditambahkan:

  • Fungsi pencuri info yang baru ditambahkan memungkinkan FTCode untuk memanen dan mengekstrak kredensial yang disimpan sebelum mengenkripsi file korbannya.

  • FTCode sekarang mampu mencuri kredensial yang disimpan dari kedua browser web (Internet Explorer, Mozilla Firefox, Google Chrome) dan klien email seperti Mozilla Thunderbird dan Microsoft Outlook.

  • Cara ransomware ini mengumpulkan kredensial berbeda untuk masing-masing dari lima aplikasi, secara langsung mengakses kunci registri dalam kasus Internet Explorer dan Microsoft Outlook, sedangkan dalam kasus Mozilla Firefox, Mozilla Thunderbird, dan Google Chrome masuk ke folder tempat aplikasi menyimpan kredensial.

  • Setelah informasi dipanen, FTCode akan mengirimkannya ke operatornya menggunakan permintaan POST yang dikirim ke server Command & Control (C2), dengan nama pengguna dan kata sandi disandikan menggunakan skema penyandian Base64.

Kemampuan ini tidak ada dalam varian sebelumnya. Jadi kita bisa melihat bahwa pengembang ransomware akan selalu punya kesempatan untuk menyempurnakan malwarenya, dengan terus meningkatkan kemampuannya, mengupdate berbagai keperluan yang bisa disesuaikan, membuat malware semakin canggih sejalan waktu.

FTCode bangkit dari kubur

Mulai 26 September, serangkaian laporan tentang ransomware baru didistribusikan melalui spam dan diberi nama FTCode.

Berdasar informasi dan investigasi diketahui bahwa sampel diteliti memiliki kesamaan seperti yang terdeteksi pada 2013 dan kemungkinan bahwa FTCode dihidupkan kembali dalam serangan baru-baru ini, karena PowerShell terintegrasi secara default pada perangkat Windows yang menjalankan setidaknya Windows 7 atau Windows Server 2008 R2.

FTCode ransomware tiba di komputer korbannya melalui email spam yang berisi dokumen Word jahat yang disamarkan sebagai faktur, pemindaian dokumen, dan resume, yang akan menghapus pengunduh malware JasperLoader dan kemudian mengenkripsi perangkat.

Namun, enkripsi tidak akan terjadi sampai malware mendapatkan persistensi, yaitu mampu terus bertahan dalam komputer meski sudah di-reboot sekalipun, dengan menambahkan tugas yang dijadwalkan dan jalan pintas ke dalam folder Startup.

Tepat sebelum mulai mengenkripsi file, FTCode akan memeriksa file C:\Users\Public\OracleKit\w00log03.tmp yang bertindak sebagai killswitch. Jika file itu tidak ditemukan, FTCode menghasilkan kunci enkripsi yang dikirim ke server C2 pelaku.

Pada tahap berikutnya, ransomware juga menonaktifkan lingkungan pemulihan Windows dan menghapus Shadow Volume Copies dan cadangan Windows untuk membuat pemulihan data menjadi tidak mungkin terlaksana tanpa membayar tebusan.

Selanjutnya, FTCode mulai mengenkripsi file dengan menambahkan ekstensi .FTCODE ke semua file yang terkunci dan READ_ME_NOW.htm catatan tebusan ke setiap folder. Para peretas meminta uang tebusan $500 untuk mengirimkan decryptor kepada korban mereka, namun, dari investigasi menunjukkan ada laporan pembayaran tebusan dan tidak mendapatkan decryptor.

Sampai saat ini para peneliti keamanan masih berusaha keras untuk dapat menciptakan antidotenya, mencari jalan membuat decryptor sebagai penawar. Bagi pengguna ESET tidak perlu khawatirkan karena sudah terlindungi dari serangan ransomware ini. Meski demikian, untuk berjaga-jaga dari segala kemungkinan terburuk, pengguna harus tetap menjalankan praktik keamanan terbaik, salah satunya dengan melakukan pencadangan data.