Badan Keamanan Siber Prancis Deteksi Ransomware Baru
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Badan Keamanan Siber Prancis (CERT-FR) mengeluarkan peringatan adanya aksi geng ransomware baru yang baru-baru ini terdeteksi menargetkan jaringan pemerintah setempat.
Menurut CERT-FR, terjadi peningkatan jumlah serangan ransomware baru dari tipe (strain) “Mespinoza”. Mespinoza pertama kali terlihat menginfeksi pada Oktober 2019.
Karakteristik ransomware tersebut ialah data dienkripsi dengan ekstensi .locked yang ditambahkan pada akhir setiap file tebusan. Tipe Mespinoza baru terlihat lagi pada Desember 2019 menggunakan ekstensi file .pysa—dari situlah ransomware ini kemudian dijuluki Pysa. Aktor di balik serangan Mespinoza/Pysa hampir selalu menargetkan perusahaan-perusahaan besar.
“Kami masih menyelidiki bagaimana bagaimana geng Pysa menginfeksi korban,” tutur CERT-FR seperti dikutip dari ZDNet, Kamis (19 Maret 2020).
Dari petunjuk forensik digital, terdapat gambaran tentang jaringan yang terinfeksi. Sebagai contoh, CERT-FR mengatakan ada bukti yang menunjukkan bahwa geng Pysa meluncurkan serangan brute-force terhadap konsol manajemen dan akun Active Directory. Serangan brute-force ini diikuti oleh exfiltrasi basis data akun & kata sandi perusahaan.
Korban yang melapor ke CERT-FR mengatakan, melihat koneksi Remote Desktop Protocol (RDP) yang tidak sah ke pengontrol domain mereka dan penyebaran skrip Batch dan PowerShell.
Selain itu, geng Pysa juga menggunakan versi alat pengujian penetrasi PowerShell Empire, mampu menghentikan berbagai produk antivirus, dan menghapus Windows Defender dalam beberapa kasus.
CERT-FR mengatakan bahwa setidaknya dalam satu kasus yang mereka analisis, mereka juga menemukan versi baru ransomware Pysa, yang menggunakan ekstensi file .newversi bukan ekstensi file .pysa.
Penyelidik mengatakan mereka juga menganalisis ransomware dan algoritma enkripsi, tapi sejauh ini belum dapat menemukan kelemahan yang memungkinkan korban mendekripsi file secara gratis. Menurut CERT-FR, kode ransomware Pysa adalah "spesifik dan sangat pendek" dan "berdasarkan pustaka Python publik."
Serangan dengan Pysa tidak hanya terbatas di Prancis. Analis malware Emsisoft dan pencipta ID-Ransomware, Michael Gillespie, mengatakan geng Pysa juga beraksi di beberapa negara terutama pada jaringan pemerintah.
Mespinoza /Pysa adalah geng ransomware terbaru yang menggunakan taktik yang disebut "big game hunting” atau "human-operated ransomware”.
Taktik penargetan yang sangat terfokus ini sangat kontras dengan pendekatan shotgun yang telah digunakan oleh geng ransomware periode 2015 hingga awal 2019. Pada periode ini geng ransomware masih sangat mengandalkan kit eksploitasi dan spam email untuk menginfeksi korban acak.
Geng ransomware lain yang terlibat dalam "big game hunting” yang ditargetkan, di antaranya Ryuk, REvil (Sodinokibi), LockerGoga, RobbinHood, DoppelPaymer, dan Maze.[]
