Yuk, Kenali Ancaman dari Ransomware Sodinokibi
Ilustrasi
Cyberthreat.id - Sodinokibi, dikenal sebagai Sodin atau REvil, adalah raja baru Ransomware. Ransomware jenis ini diyakini menghasilkan keuntungan besar (bagi para penjahat siber) karena GandCrab masih aktif digunakan untuk melumpuhkan organisasi/perusahaan di seluruh dunia.
Untuk mengenal GrandCrab, kembali ke tahun 2017, sebuah patch dirilis untuk memperbaiki kerentanan pada tools yang digunakan untuk menyinkronkan data antara dua sistem manajemen di perusahaan IT. Tetapi, tidak semua orang menginstal patch itu.
Pada 2019, GandCrab menargetkan mereka yang tidak menginstall patch tersebut lalu mengenkripsi semua komputer yang bisa mereka jangkau.
Sodinokibi memanfaatkan Manage Service Provider (MSP) yang rentan, mengeksploitasi (Exploit) kit, kampanye spam atau server yang cacat untuk disebarkan ke seluruh sistem.
Siapa di belakang Malware ini?
Ransomware terkenal ini kemungkinan didistribusikan oleh penyerang yang berafiliasi dengan mereka yang mendistribusikan keluarga ransomware GandCrab yang terkenal itu. Seharusnya Ransomware jenis ini sudah pensiun di forum bawah tanah.
Bagaimana cara kerjanya?
Setelah ransomware diinstal, Sodinokibi membuat file .txt bernama ‘[PATH TO ENCRYPTED FILES]\[RANDOM EXTENSION]-HOW-TO-DECRYPT.txt’. Kemudian mengeluarkan perintah untuk menghapus Shadow Volume Copies dan menonaktifkan perbaikan Windows Startup.
Setelah ini, Sodinokibi mengenkripsi file di server yang dikompromikan dan menambahkan file yang dienkripsi dengan ekstensi acak yang unik untuk setiap komputer yang dikompromikan.
Ransomware ini mengenkripsi file dengan ekstensi spesifik yang mencakup
.Jpg, .Jpeg, .raw, .png, .bmp, .bd, .md, .accdb, .db, .mdb, .dwg, .dxf, .cpp , .cs, .h,, php, .asp, .rb, .java, .aaf, .aep, .aepx, .plb, .prel, .aet, .ppj, .gif dan .psd.
Setelah malware menyelesaikan proses enkripsi, Sodinokibi mengubah wallpaper desktop dan memberikan catatan tebusan. Catatan tersebut berisi instruksi tentang proses dekripsi.
Catatan tebusan juga memberikan instruksi tentang cara melakukan pembayaran (tebusan/ransom) agar file-file tersebut didekripsi. Catatan tebusan ini berisi kunci dan tautan unik ke situs pembayaran.
Aktor jahat juga telah berhasil mendistribusikan Ransomware dengan mengeksploitasi beberapa kerentanan terkenal. Misalnya:
CVE-2018-8453: Kerentanan eskalasi ini ada di komponen Win32k.sys. Para penyerang mengeksploitasi kerentanan untuk menginfeksi korban di wilayah Asia-Pasifik dengan Ransomware.
CVE-2019-2725: Kerentanan eksekusi kode jauh ini berdampak pada Oracle WebLogic Server. Penyerang menyalahgunakan celah keamanan di alam liar untuk menyebarkan Ransomware.
"Ransomware memang sengaja dirancang untuk menargetkan sistem yang menjalankan sistem operasi Windows."
Karakteristik Sodinokibi
1. REvil menghindari menginfeksi komputer dari Iran, Rusia dan negara-negara lain yang sebelumnya merupakan bagian dari Uni Soviet.
2. Ransomware ini menggunakan algoritma AES dan Salsa 20 untuk mengenkripsi file pengguna. Sementara AES digunakan untuk mengenkripsi kunci sesi dan data yang dikirim ke server kontrol, file pengguna dienkripsi menggunakan enkripsi Salsa20.
3. Malware menggunakan algoritma pertukaran kunci Elliptic-curve Diffie-Hellman untuk menghasilkan dan menyebarkan kunci enkripsi.
4. Saat ini, Sodinokibi menuntut 0,32806964 BTC untuk memberikan kunci dekripsi kepada para korban. Operator mengklaim bahwa tebusan harus dibayarkan dalam waktu empat hari atau jumlahnya akan berlipat ganda.
Untuk berlindung dari Ransomware Sodinokibi, pengguna disarankan untuk mengikuti tips keamanan dasar seperti menggunakan solusi anti-ransomware canggih dan memelihara solusi anti-virus yang diperbarui. Memiliki cadangan file juga membantu korban, sampai batas tertentu, dengan mencegah mereka membayar uang tebusan.
