Timbul Tenggelam Era Ransomware

Ransomware datang silih berganti, dari kelas ecek-ecek, kelas teri sampai kelas kakap selalu menjadi masalah pelik setiap tahunnya. Timbul dan tenggelam dari satu era menuju era lainnya, ransomware selalu menjadi lawan yang tidak akan pernah bisa diremehkan.

Setelah era Teslacrypt yang tumbang beberapa tahun lalu dan decryptor ransomware tersebut berhasil dibuat oleh ESET, datang kembali ransomware lain yang tak kalah ganas, salah satunya adalah WannaCry yang masif dan eksplosif menginvasi dunia dalam sekejap waktu.

Untunglah saat itu ESET mampu mendeteksi pertama kali ransomware ini dan menagkalnya. Tapi apakah mereka berhenti? Tentu saja tidak, generasi ransomware baru sekarang muncul dengan hagemoninya sendiri.

Setelah kelompok ransomware besar seperti REvil dan Darkside yang bersembunyi atau mengubah citra untuk menghindari penegakan hukum dan perhatian media, kelompok baru muncul untuk menggantikannya. Berikut empat kelompok ransomware yang mencuri perhatian di tahun 2021.

AvosLoker

Pertama kali diamati pada Juli 2021, AvosLocker beroperasi dalam model ransomware-as-a-service (RaaS) dan dikendalikan oleh avos, yang mengiklankan layanannya di forum diskusi dark web Dread.

Catatan tebusan mencakup informasi dan ID yang digunakan untuk mengidentifikasi korban, menginstruksikan mereka yang terinfeksi untuk mengunjungi situs Tor AvosLocker untuk pemulihan data. Permintaan tebusan mereka antara $50.000 dan $75.000 di Monero, dengan infeksi diidentifikasi di tujuh organisasi di seluruh dunia.

Hive

Mulai beroperasi pada Juni 2021, Ransomware Hive telah terdeteksi menargetkan organisasi perawatan kesehatan dan bisnis lain yang tidak memiliki perlengkapan yang memadai untuk bertahan dari serangan siber. Kelompok tersebut mempublikasikan korban pertamanya di situs kebocorannya Hive Leaks, sebelum kemudian memposting rincian 28 korban lainnya.

Ketika ransomware ini dieksekusi, ia menyusupkan dua skrip batch. Skrip pertama, hive.bat, mencoba menghapus dirinya sendiri, dan skrip kedua bertugas menghapus shadow copies di sistem (shadow.bat). Ransomware Hive menambahkan [karakter acak] ekstensi hive ke file terenkripsi dan menjatuhkan catatan tebusan berjudul HOW_TO_DECRYPT.txt yang berisi instruksi dan pedoman untuk mencegah kehilangan data.

Korban diarahkan melalui catatan tebusan ke fungsi obrolan dengan pelaku untuk membahas dekripsi. Para peneliti tidak dapat menentukan metode pengiriman yang tepat dari ransomware tetapi menyarankan cara tradisional seperti kredensial brute-forcing atau spear-phishing dapat berperan.

HelloKitty: Edisi Linux

Keluarga HelloKitty muncul pada tahun 2020, terutama menargetkan sistem Windows. Namanya berasal dari penggunaan HelloKittyMutex.

Pada tahun 2021, terdeteksi sampel Linux (ELF) dengan nama funny_linux.elf yang berisi catatan tebusan dengan verbiage yang secara langsung cocok dengan catatan tebusan yang terlihat pada sampel HelloKitty untuk Windows selanjutnya. Sampel lebih lanjut ditemukan, dan pada bulan Maret mereka mulai menargetkan ESXi, target pilihan untuk varian ransomware Linux terbaru.

Anehnya, mode komunikasi yang disukai yang dibagikan oleh pelaku dalam catatan tebusan di seluruh sampel yang berbeda adalah campuran antara URL Tor dan alamat email Protonmail khusus korban. Ini bisa menunjukkan operasi yang berbeda atau bahkan pelaku ancaman yang sama sekali berbeda yang menggunakan basis kode malware yang sama.

Tuntutan tebusan sebesar $10 juta di Monero, meskipun pelaku juga bersedia menerima pembayaran Bitcoin. Ransomware mengenkripsi file menggunakan Elliptic Curve Digital Signature Algorithm (ECDSA).

LockBit 2.0

Sebelumnya dikenal sebagai ABCD ransomware, LockBit 2.0 adalah grup lain yang beroperasi sebagai RaaS.

Beroperasi sejak 2019, baru ini diketahui mereka mengalami evolusi terbaru dalam metode grup, dengan para pengembang mengklaim varian mereka saat ini adalah perangkat lunak enkripsi tercepat yang beroperasi.

Sejak Juni, kelompok tersebut telah berkompromi dengan 52 organisasi global. Semua posting oleh aktor ancaman di situs kebocoran mereka termasuk hitungan mundur sampai informasi rahasia dirilis ke publik, yang menciptakan tekanan tambahan pada korban.

Setelah dieksekusi, LockBit 2.0 memulai enkripsi file dan menambahkan ekstensi .lockbit. Ketika enkripsi selesai, catatan tebusan berjudul Restore-My-Files.txt memberi tahu korban tentang kompromi dan menawarkan saran tentang langkah-langkah untuk mendekripsi.