Family Ransomware


Saya masih belajar tentang ransomware. Kali ini ada tulisan menarik dari Chad Anderson, beliau peneliti dari perusahaan domaintools. Dia cerita tentang 3 family ransomware yang lagi trending. Semakin banyak bermunculan geng ransomware. Geng ransomware dan grup afiliasinya bekerjasama juga dengan operator botnet. Setelah mereka menguasai jaringan korban, operator botnet menjual akses korban ke grup ransomware. Contohnya infeksi Trickbot seringkali diikuti dengan serangan ransomware Conti atau Ryuk. Kasus lainnya infeksi Qakbot diikuti dengan serangan ransomware REvil.

Menurut Chad ada 3 family ransomware yang paling banyak korbannya, yaitu conti, maze dan Sodinokibi. Geng ransomware ini seringkali saling bekerjasama, berbagai tools, dan saling menjual akses ke korban. Biasanya ada tool builder yang dapat digunakan grup afiliasi untuk melakukan kastemisasi ransomware, disesuaikan dengan targetnya, serta melakukan evasion deteksi antivirus.

Akses awal ke komputer korban biasanya menggunakan backdoor atau botnet, istilahnya initial access broker. Backdoor ini bisa juga disebut RAT (Remote access trojan) menginfeksi korban melalui downloader. Downloader ini tools yang disebar melalui email spam yang mengandung dokumen malicious dengan tipe yang berbeda. Ada juga RAT yang menginfeksi menggunakan teknik cracking password atau eksploitasi celah keamanan yang ada di jaringan target.

Conti

Mulai ditemukan pada desember 2019, konon operator Conti sama dengan Ryuk. Ransomware ini memiliki infeksi awal yang cepat. Conti menjalankan layanan Raas, dan memiliki leak site yang digunakan untuk strategi double extortion (pemerasan). Awalnya didistribusikan dengan botnet Trickbot, namun kemudian menggunakan Bazar dan IcedID (Bokbot). IcedID ini digunakan juga oleh botnet Emotet yang menyebarkan Trickbot dan Ryuk dimasa lalu.

Conti menggunakan enkripsi AES256 yang menggunakan pendekatan multithread sehingga eksekusinya jauh lebih cepat dibandingkan malware lainnya. Teknik ini digunakan juga Ryuk sejak 2018. Conti konon lebih kompleks dibandingkan grup lainnya.

Bazar menggunakan EmerDNS domain berbasis blockchain, sebuah register domain alternatif yang menggunakan EmerCoin sebagai blockchain, sehingga domainnya tidak bisa di-take down atau sinkholed.

Maze dan Egregor

Grup Maze menjadi salah satu afiliasi ransomware yang memiliki jumlah infeksi tinggi. Bahkan masih menempati peringkat infeksi tertinggi, walaupun grup ini sudah menutup operasinya pada november 2020. Maze dulu dikenal sebagai grup ChaCha, karena menggunakan algoritma enkripsi ChaCha. Grup ini salah satu Raas yang menggunakan leak site. Setelah Maze berhenti, grup afiliasinya banyak menggunakan ransomware Egregor.

Maze menggunakan tools eksploit kit seperti fallout atau spelevo. Mereka juga menggunakan kampanye spam yang menginstal Cobalt Strike Beacon. Beacon adalah RAT komersial dengan fitur lengkap, yang ditemukan pada hampir semua infection chain. Walaupun awalnya dibuat untuk pentest dan red teams, Cobalt Strike banyak digunakan oleh geng ransomware, karena memiliki fitur yang langkap, khususnya fitur c&c di beacon.

Berbeda dengan Maze, Egregor meggunakan eksploit eksternal terhadap RDP seperti conti, dan email spam dengan dokumen malicious yang memasang worm Qakbot (Qbot). Qakbot adalah malware yang sudah ada sejak 2007. Qakbot pernah digunakan juga oleh Emotet, ProLock dan LockerGoga.

Revil

REvil mulai dikenal sejal april 2019, diduga adalah penerus GandCrab, karena kesamaan kodenya. GanCrab adalah varian ransomware awal. REvil memeriksa settingan regional dan bahasa komputer, apakah berada di negara2 berbahasa rusia. REvil memiliki sebuah leak site juga, diantaranya membocorkan blueprints Apple. Revil memiliki beberapa fitur unik, diantaranya privilege escalation dengan melakukan spam pada user yang tidak memiliki login administrator, atau melakukan reboot komputer ke Safe Mode untuk mengenkripsi file. Alasanya karena antivirus umumnya tidak berjaan di sage mode.

Mereka menggunakan packer custom, yang menggunakan teknik obfuscation. Algoritma enkripsi menggunakan AES atau Salsa20. Pecahan ransomware ini diantaranya geng Prometheus.

Distribusi menggunakan spam untuk menyebarkan dokumen malicious dan ekspoit kit yang menyerang celah keamanan yang tidak dipatch, selain itu ada juga yang menggunakan Qakbot.

Tulisan lengkapnya bisa dilihat pada link berikut:

https://www.domaintools.com/resources/blog/the-most-prolific-ransomware-families-a-defenders-guide#

Semoga Bermanfaat!


Silahkan tuliskan tanggapan, kritik maupun saran