Ransomware Tracking

Kali ini saya coba share presentasi dari Secureworks tentang Ransomware Tracking. Secureworks adalah perusahaan keamanan dari USA.  Ransomware adalah suatu jenis malware yang mengenkrip data-data pada komputer korban, dan meminta uang tebusan (ransom). Bila korban tidak membayar uang ransom (tebusan) maka data-datanya tidak dibuka. Secureworks membuat klasifikasi 4 jenis penjahat cyber:

  • Nation State (pemerintahan)
  • Hacktivist (kelompok hacking yang memiliki motif politik/sosial)
  • Cyber criminal dan
  • Malicious Insider (orang dalam)

Menurut Secureworks, Ransomware dibuat oleh Cyber criminal. Motifnya adalah uang. Uang didapat melalui pembayaran uang tebusan atau menjual data-data korban. Ransomware umumnya menggunakan enkripsi dengan algoritma Asymmetric, dimana diperlukan 1 pasang kunci untuk dapat membuka (decrypt) data.

Infeksi Ransomware

Beberapa tahapan infeksi Ransomware adalah:

  • Initial attack vector – Penyebaran melalui social engineering
  • Compromised – Malware dipasang dan dieksekusi pada komputer korban
  • Targeting/Scoping – mencari file yang akan diencrypt
  • Connection to C2 – konek ke server C2 (Command & Control). Mendaftarkan komputer korban, dan generate kunci
  • Key Download – mengunduh kunci
  • Encryption – melakukan enkripsi pada file korban
  • Ransom message – menampilkan pesan permintaan uang tebusan
  • Payment – pembayaran uang tebusan
  • Financial Gain

Selanjutnya dibahas tentang penanganan Ransomware. Umumnya file yang telah dienkripsi oleh Ransomware, tidak dapat didekripsi tanpa kunci (key) yang sesuai. Secureworks menemukan penyebaran Ransomware melalui beberapa metode berikut:

  • Email Spam
  • Macro pada file MS Office
  • Peretasan pada web, yang digunakan untuk menyebarkan ransomware
  • Exploit Kit

Beberapa indikator yang menunjukan adanya ransomware pada komputer adalah:

  • Adanya trafik data dengan alamat server C2 yang telah dikenali
  • Adanya Outbound phoning packet ke server C2
  • Adanya proses wscript.exe palsu
  • Adanya perubahan wallpaper, dll

Untuk pencegahan, secureworks menyarankan untuk melakukan backup data. Sementara itu husus untuk kawasan Asia Pasifik, ditemukan adanya perbedaan dengan Ransomware di kawasan lainnya, diantaranya:

  • kasus infeksi Ransomware tidak sebanyak di kawasan lainnya.
  • Dalam proses infeksi, dibutuhkan interaksi user yang lebih banyak. Contohnya user harus menjalankan file tersebut, mengklik tautan tertentu dll
  • Banyak ditemukan  email spam dalam bahasa lokal (negara-negara di Asia Pasifik)
  • Attachment email juga dibuat dalam bahasa lokal
  • Adanya peretasan pada web lokal untuk penyebaran malware
  • Ditemukan adanya exploit kit, dll
  • Pesan permintaan tebusan juga dibuat dalam bahasa lokal
  • Informasi tentang pembayaran juga dibuat dalam bahasa lokal.
  • Penggunaan layanan pertukaran uang lokal
  • File ekstensi target yang berbeda

Beberapa ransomware yang telah ditemukan menggunakan bahasa lokal (Jepang dan Korea) adalah:

  • Cerber
  • CryptXXX
  • Troldesh (a.k.a. Shade or XTBL)
  • Locky
  • CryptoWall
  • CryptoDefense
  • CryptoLocker
  • CTB-Locker
  • TeslaCrypt
  • TorrentLocker
  • Locker v5.30
  • AlphaCrypt
  • UltraCrypter
  • .777 ransomware
  • SynoLocker
  • BitCrypt

Untuk penanganan Ransomware ini Secureworks mengajak para peneliti keamanan maupun CSIRT untuk bekerjasama. Secureworks juga telah menyiapkan rules IDS untuk mendeteksi trafik malware dengan server C2.

Semoga Bermanfaat!

 

 

Silahkan tuliskan tanggapan, kritik maupun saran