Ganti Nama Jadi El_Comte, Bandit Siber SynAck Rilis Kunci Ransomware untuk Para Korban

Cyberthreat.id – Bandit siber berjuluk “El_Cometa”, sebelumnya lebih dikenal dengan “SynAck” pada 12 Agustus lalu mengeluarkan decryptor atau kunci untuk membuka enkripsi ransomware.

Kunci tersebut diperuntukkan bagi para korban ransomware antara Juli 2017 hingga 2021. The Record, media berita yang fokus isu keamanan siber, menerima kunci yang dibocorkan oleh seseorang yang mengklaim diri sebagai anggota geng peretas tersebut.

“Kunci telah diverifikasi autentik oleh Michael Gillespie, analis malware di perusahaan keamanan Emsisoft dan pencipta layanan ID-Ransomware,” tulis media yang dikelola oleh firma keamanan siber Recorded Future tersebut, diakses Senin (16 Agustus 2021).

Menurut Recorded, Gillsepie dapat menggunakan utilitas dekripsi yang bocor tersebut dan kunci pribadi untuk mendekripsi file dari ransomware SynAck yang lama.

Saat ini, Emsisoft sedang mengembangkan utilitas dekripsinya sendiri yang diklaim lebih aman dan lebih mudah digunakan oleh pengguna non-teknis atau korban umum lain. Rencana, dekripsi ini kemungkinan dirilis antara selama sepekan ke depan.

SynAck pertama kali terlihat di alam liar pada Juli 2017 dan termasuk salah satu ransomware tertua yang saat ini masih beroperasi.

Alasan mereka mengeluarkan decryptor, menurut Recorded, karena “sekarang telah menghentikan operasi SynAck yang lama dan fokus pada yang baru”. Bulan lalu, operator di balik ransomware itu mengubah nama menjadi “El_Comte”.

Selain itu, bandit tersebut kini sedang mengembangkan platform (RaaS) baru dan merencanakan perekrutan mitra kriminalnya (seringkali disebut “afiliasi”) yang lebih banyak dibanding operasi lama.

SynAck menjadi geng peretas ransomware kedua yang merilis decryptor pada tahun ini setelah geng Avaddon dan Prometheus juga melakukan hal sama pada Juni lalu.

Pakar ransomware Allan Liska mengatakan, selama ini gaya operasi SynAck tak pernah mengalihdayakan ransomware-nya sehingga aksi jahatanya tak sebanyak geng-geng ransomware lain, seperti Conti atau REvil. “Mereka juga tidak mencapai target yang begitu besar,” ujar Liska kepada ZDNet.

Sementara, perusahaan keamanan siber asal Rusia, Kaspersky Lab, pada 2018 pernah mengeluarkan laporan terkait SynAck. Geng satu ini memang berbeda dengan tipikal ransomware lain. Jika geng-geng lain memiliki situs web khusus berasis TOR, SynAck tidak memilikinya dan menyuruh korban untuk membayar uang tebusan dalam bentuk Bitcoin melali email atau BitMessage ID. Umumnya, tuntutan mereka sekitar US$3.000.

Mereka mulai dikenal karena memakai taktik “Doppelgänging” yaitu menargetkan sistem operasi Windows dan dirancang menghindari perangkat lunak antivirus dengan memanfaatkan “cara mereka berinteraksi dengan proses memori”.

“Tujuan utama dari teknik ini ialah menggunakan transaksi NTFS untuk meluncurkan tindakan jahat dari file yang ditransaksikan sehingga tindakannya terlihat seperti proses yang sah,”  ujarAnton Ivanov, analis malware utama di Kaspersky Lab di blog perusahaaan.[]