AstraLocker Hentikan Operasi dan Rilis Deskriptor
ilusstrasi
Cyberthreat.id – Ransomware AstraLocker menghentikan operasinya dan menerbitkan deskriptor gratis untuk para korbannya.
Dikutip dari Bleeping Computer, aktor ancaman dibalik ransomware AstraLocker mengatakan kepada BleepingComputer bahwa mereka menghentikan operasi dan berencana untuk beralih ke cryptojacking.
Sementara itu, untuk para korban mereka mengirimkan arsip ZIP dengan dekripsi AstraLocker ke platform analisis malware VirusTotal. BleepingComputer telah mengunduh arsip dan mengonfirmasi bahwa decryptor itu sah dan berfungsi setelah menguji salah satunya terhadap file yang dienkripsi dalam kampanye AstroLocker baru-baru ini.
Meskipun Bleeping Computer hanya menguji satu decryptor yang berhasil mendekripsi file yang dikunci dalam satu kampanye, decryptor lain dalam arsip kemungkinan dirancang untuk mendekripsi file yang dienkripsi dalam kampanye sebelumnya.
"Itu menyenangkan, dan hal-hal menyenangkan selalu berakhir kapan saja. Saya menutup operasi, decryptors ada dalam file zip, bersih, saya sudah selesai dengan ransomware untuk saat ini. Saya akan menggunakan cryptojaking lol,” ungkap operator AstraLocker.
Namun, pengembang Astralocker tidak mengungkapkan alasan di balik penutupan AstraLocker, kemungkinan karena publisitas tiba-tiba yang dibawa oleh laporan baru-baru ini yang akan mendaratkan operasi di garis bidik penegakan hukum.
Decryptor universal untuk ransomware AstraLocker saat ini sedang dalam pengerjaan, yang akan dirilis di masa mendatang oleh Emsisoft, sebuah perusahaan perangkat lunak yang dikenal membantu korban ransomware dengan dekripsi data.
Sebelumnya, grup ransomware lain juga telah merilis kunci dekripsi dan dekripsi ke BleepingComputer dan peneliti keamanan sebagai isyarat niat baik saat mematikan atau merilis versi baru. Daftar alat dekripsi yang dirilis sebelumnya termasuk Avaddon, Ragnarok, SynAck, TeslaCrypt, Crysis, AES-NI, Shade, FilesLocker, Ziggy, dan FonixLocker.
Sebagai informasi, baru-baru ini firma intelijen ancaman ReversingLabs mengungkapkan bahwa, AstraLocker menggunakan metode yang agak tidak lazim untuk mengenkripsi perangkat korbannya dibandingkan dengan jenis ransomware lainnya. Alih-alih mengkompromikan perangkat terlebih dahulu (baik dengan meretasnya atau membeli akses dari pelaku ancaman lainnya), operator AstraLocker akan langsung menyebarkan muatan dari lampiran email menggunakan dokumen Microsoft Word yang berbahaya.
Umpan yang digunakan dalam serangan AstroLocker adalah dokumen yang menyembunyikan objek OLE dengan muatan ransomware yang akan disebarkan setelah target mengklik Jalankan dalam dialog peringatan yang ditampilkan saat membuka dokumen.
Sebelum mengenkripsi file pada perangkat yang sekarang disusupi, ransomware akan memeriksa apakah itu berjalan di mesin virtual, mematikan proses dan menghentikan pencadangan dan layanan AV yang akan menghambat proses enkripsi.
Berdasarkan analisis ReversingLabs, AstraLocker didasarkan pada kode sumber ransomware Babuk Locker (Babyk) yang bocor, jenis buggy tetapi masih berbahaya yang keluar dari ruang angkasa pada September 2021. Selain itu, salah satu alamat dompet Monero di catatan tebusan AstraLocker juga ditautkan ke operator ransomware Chaos.
