Surat Cinta via Email, Modus Baru Sebarkan Ransomware Nemty

Cyberthreat.id - Sekelompok peneliti cybersecurity mengamati kampanye malspam yang sedang berlangsung menggunakan email yang disamarkan. Pesan di email berkedok sebagai pesan dari pecinta rahasia yang bertujuan menjebak pengguna dengan memberikan muatan Nemty Ransomware di komputer para calon korban.

Kampanye spam ini diidentifikasi oleh peneliti Malwarebytes dan X-Force IRIS yang menyatakan kampanye ini telah memulai distribusi pesan jahat melalui aliran email yang sifatnya terus-menerus.

Para penyerang menggunakan beberapa baris subjek yang mengisyaratkan isi email dikirim oleh seseorang yang sudah diketahui/dikenal penerima dan dibuat menggunakan templat surat cinta. Subjek di email itu seperti pernyataan romantis; "Jangan bilang siapa-siapa," "Aku mencintaimu," "Surat untukmu," atau pernyataan "Akan jadi rahasia kami," serta "Tidak bisa melupakanmu."

Apa yang membedakan kampanye ini dari yang lain adalah operator tidak perlu repot menulis email yang menarik karena semua pesan spam ini hanya berisi emotikon dan sedikit teks. Malwarebytes menyebut umpan dengan motif 'kekasih rahasia' cukup efektif menjebak korban.

"Terlampir pada setiap email adalah arsip ZIP dengan nama yang diformat sebagai 'LOVE_YOU _ ###### _ 2020.zip' dengan hanya #s yang berubah," demikian keterangan para peneliti dilansir Bleeping Computer, Kamis (27 Februari 2020).

"Hash file yang terkandung di dalam masing-masing arsip ini tetap sama dan dikaitkan dengan file JavaScript yang bernama LOVE_YOU.js."

File JavaScript berbahaya ini memiliki tingkat deteksi virus yang sangat rendah sehingga dapat menyebabkan peningkatan jumlah infeksi. Para penyerang menggunakannya untuk mengeksekusi ransomware Nemty di komputer para korban. Ketika dieksekusi mengandung muatan berbahaya dari server jarak jauh dan meluncurkannya.

"Eksekusi yang diunduh diidentifikasi sebagai ransomware Nemty dan melakukan enkripsi file sistem pada saat eksekusi, meninggalkan catatan tebusan yang menuntut pembayaran sebagai ganti kunci dekripsi," tulis para peneliti.

Nemty ransomware pertama kali terlihat pada Agustus 2019 dan dikenal karena menghapus salinan dari semua file yang dienkripsi, sehingga mustahil bagi para korban yang tidak memiliki cadangan terpisah untuk memulihkan data mereka.

Satu bulan kemudian atau tepatnya awal September, para peneliti menemukan bahwa pengembang malware tersebut memutakhirkannya dengan memasukkan kode untuk membunuh layanan dan proses Windows sehingga memungkinkannya mengenkripsi file yang sedang digunakan.

Perusahaan keamanan Tesorion dikenal sebagai salah satu perusahaan yang membuat dekripsi ransomware Nemty gratis pada Oktober 2019 untuk Nemty versi 1.4 dan 1.6. Deskripsi ini bekerja untuk sejumlah jenis dokumen termasuk gambar, video, dokumen kantor, dan arsip.

Januari lalu operator di belakang Nemty ransomware menyatakan berencana untuk membuat blog yang akan digunakan untuk mempublikasikan kebocoran informasi yang dicuri. Blog itu sebagai ancaman keras terhadap korban ransomware yang menolak untuk membayar uang tebusan.

"Tren membuat blog ini dimulai oleh Maze Ransomware pada November 2019 kemudian pola ini diikuti Sodinokibi, BitPyLock, dan Nemty dengan menyatakan bakal mengadopsi taktik serupa."