Ransomware Paradise Manfaatkan File Microsoft Excel
Ilustrasi: Ransomware Paradise
Cyberthreat.id - Lastline, perusahaan cybersecurity berbasis di Amerika Serikat (AS), baru-baru ini mengumumkan telah menemukan kampanye ransomware Paradise dengan varian dan trik baru. Ransomware ini dapat mengelabui seseorang yang tidak waspada untuk meretas jaringan mereka dengan malware yang mengenkripsi suatu file.
Serangan itu tidak akan dikenali dan sulit dideteksi oleh banyak OS Windows. Varian baru dari ransomware Paradise ini menggunakan jenis file yang tidak biasa, tetapi efektif untuk menyusup ke jaringan dan menjatuhkan suatu malware guna mengenkripsi file penting sebuah perusahaan. Varian ransomware tersebut disebar melalui email Phishing.
Kampanye Paradise memanfaatkan file Microsoft Office Excel IQY. File IQY juga disebut sebagai file Web Query. Dengan Web Query memungkinkan pengguna untuk membawa data dari situs web ke lembar kerja (worksheet) Excel.
Head of Global Threat Intelligence Lastline, Richard Henderson, mengatakan penjahat siber semakin pintar dengan memanfaatkan file IQY yang sulit dikenali atau dideteksi oleh suatu produk keamanan untuk mengunduh data dari internet.
"Kami melihat serangan menggunakan file IQY karena banyak produk keamanan komoditas dan sistem otomatis tidak bisa menguraikan jenis file ini. Penyerang sangat menyadari bahwa mereka memiliki peluang yang sangat baik untuk berhasil melewati pertahanan yang belum sempurna," kata Henderson seperti dikutip ZDNet, Rabu (11 Maret 2020).
IQY, kata dia, adalah jenis file yang sah, sehingga IQY yang bermuatan malware tidak akan ditandai atau disaring oleh sistem sebagai malware.
Setelah seseorang mengklik sebuah lampiran yang berisi file IQY pada email, lampiran yang diunduh itu akan menjalankan perintah Windows PowerShell (sebuah command line interface) yang akan mengunduh malware untuk mengenkripsi suatu file penting pada organisasi yang ditargetkan.
Setelah file dienkripsi, korban akan diminta sejumlah uang tebusan, biasanya dalam bentuk Bitcoin supaya dapat mendekripsi atau membuka file yang telah dienkripsi.
Ransomware Paradise awalnya muncul tahun 2017. Para peneliti Lastline mencatat ransomware jenis ini tidak akan diinstal pada mesin yang berbahasa Rusia, Kazakh, Belarusia, Ukraina, Tatar hingga Belarus. Namun, belum diketahui siapa operator dibalik ransomware ini.[]
Redaktur: Arif Rahman
