Ransomware Musik Rock Sasar Pengguna Office 365 Italia
Band rock asal Jerman Rammstein. Penjahat siber mencatut lagu-lagu mereka untuk dipakai dalam kampanye serangan ransomware di Italia. | Foto: https://www.udiscovermusic.com
Cyberthreat.id – Pengguna Office 365 di Italia menjadi sasaran serangan ransomware musik. Ransomware ini selain mengunci file juga memainkan memainkan musik rock Jerman yang gelap.
Ransomware musikal yang disebut FTCode terdeteksi oleh analis keamanan di AppRiver—perusahaan cybersecurity asal Florida, Amerika Serikat, seperti diberitakan Infosecurity Magazine, Jumat (18 Oktober 2019).
Menurut peneliti, serangan itu bermula dari pengguna yang menjadi target akan menerima email berkonten berbahaya yang ditampilkan sebagai resume, faktur, atau pemindaian dokumen.
Email tersebut menyertakan file skrip Visual Basic (.vbs) yang mengunduh dan memainkan lagu Rammstein saat mengenkripsi file di komputer korban.
"File .vbs pada awalnya meluncurkan PowerShell untuk mengunduh dan memutar file mp3 dari archive.org,” kata peneliti.
“Sekilas, kami menduga itu hanya ekstensi file berganti nama untuk malware, ini praktik umum untuk membantu menghindari beberapa gateway jaringan. Namun, kami terkejut mendapatinya ada lagu Rammstein," tulis peneliti AppRiver.
Sumber:AppRiver
Ketika para korban “disuguhi” meriah lagu "Du Hast" dan "Engel," skrip menjalar ke domain berbeda untuk menarik pembawa malware Jasper. File .vbs ini memungkinkan aktor ancaman untuk memuat malware tambahan yang mereka pilih.
Setelah file di komputer pengguna dienkripsi, sebuah catatan ditinggalkan di desktop korban, yaitu mengarahkan pengguna untuk mengunduh, menginstal, dan mengunjungi sebuah situs web untuk instruksi lebih lanjut.
Untuk meyakinkan korban bahwa penyerang menyediakan pembuka enkripsi (dekripsi) atau kunci, situs web itu menawarkan kesempatan untuk menguji dekripsi file dengan satu file sebelum mereka membayar uang tebusan penuh.
“Biaya tebusan ditetapkan US$ 500 jika dibayarkan dalam tiga hari pertama, setelah itu dengan cepat meningkat menjadi US$ 25.000,” tulis peneliti.
David Pickett, analis keamanan di AppRiver, mengatakan, pengguna Office 365 untuk tidak mengambil risiko dengan mengklik tautan yang dikirim oleh orang asing. Waspadalah terhadap setiap konten yang meminta untuk diaktifkan.
Ia menambahkan, pengguna harus waspada untuk tidak mengklik atau membuka tautan atau dokumen yang tidak diminta, terutama dengan tipe file yang tidak mereka kenal, seperti file skrip (.vbs, .js, .ps1, .bat, dll.) .
"File Office apa pun yang, setelah dibuka, meminta pengguna untuk Enable Content atau Enable Editing harus dicurigai dan diverifikasi di luar jaringan sebelum mengeksekusinya,” tutur dia.
Jika file tersebut berbahaya, dengan mengaktifkan konten atau pengeditan artinya menonaktifkan keamanan Microsoft dan memungkinkan muatan berbahaya yang terkandung di dalamnya untuk dieksekusi.
