Saya lagi baca tulisan Oleg Skulkin tentang revil ransomware. Revil ini salah satu ransomware yang pake model Raas (ransomware as a service). Model Raas ini si developer malware dia ngejual atau nyewain ransomware yang dia bikin. Raas ini konon jadi salah satu faktor yang menyebabkan pertumbuhan ransomware yang sangat pesat. Menurut tim Group-IB sekitar 64% serangan ransomware tahun 2020 pake model Raas.

REvil alias Sodinokibi atau Sodin mulai dikenal sejak tahun 2019. Konon developer grup revil ini dari negara berbahasa rusia. Beberapa korbannya diantaranya perusahaan besar seperti Acer, Honeywell, Quanta Computer, JBS, Sol Oriens. Permintaan ransomnya konon sebesar USD 50 juta untuk dan USD 11 juta untuk JBS.

Menurut oleg, akses awal REvil umumnya melalui serangan brute force terhadap RDP server publik atau menggunakan akun yang didapat dari pihak ketiga. Mereka menemukan juga varian REvil yang menggunakan malvertising dengan mengelabui korban untuk mengunduh file arcive yang mengandung file JS malicious. Ketika dijalankan malware menjalankan perintah Powershell, sehingga REvil dapat jalan pada komputer korban. Teknik ini digunakan juga pada Trojan Gootkit.

Untuk mendeteksi REvil menurut oleg selalu monitor WScript.exe yang menjalankan skrip dari lokasi yang tidak umum. Selain itu juga monitor file WScript.exe yang menjalankan cmd.exe atau powershell.exe atau yang meminta akses ke jaringan eksternal.

Tips lainya monitor winword.exe atau exel.exe yang menjalankan proses mencurigakan seperti rundll32.exe, regsvr32.exe atau mshta.exe

Penjelasan lainnya tentang revil dan tips deteksi lainnya bisa dilihat pada blog berikut:

https://blog.group-ib.com/revil_raas

Semoga Bermanfaat!