Ransomware yang Mengancam Dunia Industri Sepanjang 2019
Ilustrasi
Cyberthreat.id - Biro Investigasi Federal (FBI) di Amerika Serikat mengeluarkan peringatan (flash alert) yang memperingatkan industri swasta tentang infeksi Ransomware dari jenis LockerGoga dan MegaCortex.
Ransomware ini khusus menargetkan perusahaan/korporasi dengan mengkompromikan jaringan yang kemudian mencoba untuk mengenkripsi semua perangkatnya. Flash Alert FBI menjelaskan bagaimana keduanya menyerang jaringan.
"Sejak Januari 2019, LockerGoga telah menargetkan perusahaan dan organisasi besar di Amerika Serikat, Inggris, Prancis, Norwegia, dan Belanda. MegaCortex pertama kali diidentifikasi pada Mei 2019, memperlihatkan Indicators of Compromise (IOC), infrastruktur command and control (C2) dan penargetan (targeting) yang mirip dengan LockerGoga," demikian catatan peringatan FBI.
Aktor jahat di balik LockerGoga dan MegaCortex mendapatkan pijakan (foothold) di jaringan perusahaan menggunakan exploit, serangan Phishing, injeksi SQL, dan pencurian login kredensial.
Setelah mengkompromikan jaringan, aktor jahat memasang alat pengujian penetrasi yang disebut Cobalt Strike.
Alat ini memungkinkan penyerang untuk menyebarkan suar/nyala api (beacon) pada perangkat yang dikompromikan untuk membuat perlindungan (shells), menjalankan skrip PowerShell, melakukan eskalasi hak istimewa (privilege escalation), atau membuat sesi baru guna membuat pendengar pada sistem korban.
Para aktor jahat akan mendapatkan perlawanan (persistence) di jaringan selama berbulan-bulan sebelum mereka menggunakan Ransomware. Selama penyebaran Ransomware berlangsung, para aktor jahat akan memeriksa proses dan layanan yang terkait dengan program keamanan. Jika ditemukan, program dinonaktifkan sebelum melanjutkan dengan proses infeksi.
"Karena kedua infeksi Ransomware ini menggunakan algoritma enkripsi yang aman, hampir tidak mungkin untuk mendekripsi mereka secara gratis."
Rekomendasi FBI
Flas alert FBI disertai panduan dan proses mitigasi untuk meminimalkan risiko pada Ransomware LockerGoga dan MegaCortex. Panduannya sebagai berikut:
1. Pastikan semua perangkat lunak yang diinstal dan sistem operasi tetap diperbarui.
2. Aktifkan otentikasi dua faktor (2FA) dan password yang kuat untuk memblokir serangan phishing, pencurian kredensial, atau kompromi login lainnya.
3. Monitor semua server desktop jarak jauh yang terbuka untuk mencegah penyerang mendapatkan akses ke jaringan dan sistem.
4. Pindai port terbuka di jaringan dan blokir agar tidak dapat diakses.
5. Nonaktifkan SMBv1 karena banyak kerentanan dan kelemahan ada dalam protokol.
Karakter LockerGoga
Beberapa aspek yang sangat mengganggu pada malware LockerGoga menurut Wired:
1. LockerGoga mematikan komputer, mengunci pengguna dan akan menyulitkan jika korban tidak berniat untuk membayar uang tebusan.
2. Para penyerang tampaknya mengetahui kredensial target pada awal intrusi.
3. Sebelum menjalankan kode enkripsi, para peretas menggunakan perintah "task kill" pada mesin target untuk menonaktifkan antivirus mereka. Malware kemudian mengenkripsi file komputer.
4. Para korban mendapatkan catatan permintaan tebusan: “Salam! Ada cacat yang signifikan dalam sistem keamanan perusahaan Anda ... Anda harus bersyukur cacat itu dieksploitasi oleh orang-orang serius dan bukan oleh beberapa pemula. Mereka akan merusak semua data Anda secara tidak sengaja atau untuk bersenang-senang."
5. Para penyerang tidak menyebutkan harga mereka dalam catatan, tetapi memberikan alamat email untuk menghubungi para peretas guna bernegosiasi jumlah bitcoin dalam pembayaran tebusan.
