Ransomware HavanaCrypt Menyamar Sebagai Pembaruan Google Palsu
illustrasi
Cyberthreat.id – Peneliti keamanan dari Trend Micro mengungkapkan bahwa ransomware HavanaCrypt menyamar sebagai pembaruan Google palsu.
Dikutip dari Info Security Magazine, HavanaCrypt menyamar dengan menggunakan alamat IP layanan hosting web Microsoft sebagai server perintah dan kontrolnya untuk menghindari deteksi.
Berdasarkan laporan yang dikeluarkan Trend Micro, saat ini memang banyak ransomware yang menyamar sebagai aplikasi yang sah. Tahun ini saja telah melihat ransomware menyamar sebagai pembaruan Windows 10, Google Chrome dan Microsoft Exchange.
Menurut peneliti Trend Micro, HavanaCrypt merupakan salah satu malware yang dapat memeriksa apakah ia beroperasi di lingkungan tervirtualisasi dan akan berhenti sendiri jika itu masalahnya. Peneliti pun menjelaskan bagaimana perlunya menggunakan alat seperti de4dot dan DeObfuscar untuk menganalisis sampel dan menghasilkan kode yang tidak disamarkan.
Investigasi yang dilakukan oleh peneliti Trend Micro menunjukkan bagaimana ransomware menggunakan fungsi QueueUserWorkItem, metode namespace .NET System.Threading untuk mempercepat enkripsi, serta modul pengelola kata sandi sumber terbuka KeePass Password Safe selama rutinitas enkripsi filenya.
“HavanaCrypt menghindari enkripsi file di beberapa direktori, termasuk Tor. Mempertimbangkan hal ini, sangat mungkin bahwa pembuat ransomware berencana untuk berkomunikasi melalui browser Tor,” kata peneliti Trend Micro.
Selain itu, para peneliti menunjukkan bahwa HavanaCrypt tidak menjatuhkan catatan tebusan. Hal ini menunjukan indikasi bahwa HavanaCrypt masih dalam tahap pengembangan. Namun meski demikian, penting untuk mendeteksi dan memblokirnya sebelum berkembang lebih jauh dan menghasilkan lebih banyak kerusakan.
“Kelompok ransomware meningkatkan tekanan pada korban mereka, tingkat kecanggihan yang digunakan oleh geng kriminal meningkat secara eksponensial dan hanya mengandalkan pelatihan kesadaran pengguna dan pertahanan titik akhir tidak lagi cukup,” kata peneliti di Trend Micro.
Peneliti menambahkan, meskipun ini adalah jenis ransomware baru, ini disampaikan melalui teknik rekayasa sosial tradisional, kata Javvad Malik, advokat kesadaran keamanan utama di KnowBe4. Sehingga sangat penting bagi pengguna internet untuk memperhatikan perangkat lunak apa yang mereka unduh dan sumbernya. Jika ragu, pembaruan harus diserahkan kepada tim TI untuk dikelola atau diunduh melalui saluran resmi.
