ESET Temukan Serangan Ribuan Botnet Cryptomining VictoryGate
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Perusahaan keamanan siber asal Slovakia, ESET, baru-baru ini menemukan aktivitas botnet yang belum teridentifikasi sebelumnya. Botnet ini oleh peneliti ESET diberi nama VictoryGate/MSIL.
“Botnet telah aktif setidaknya sejak Mei 2019,” tulis Alan Warburton, peneliti keamanan siber ESET, di blog perusahaan pada Kamis (23 April 2020).
Dari modul awal yang diidentifikasi, Alan bersama tim mendeteksi tiga varian berbeda. Selain itu, peneliti juga menemukan sekitar 10 muatan sekunder (secondary payloads) yang didunguh dari file yang dipublikasi di sebuah situs web.
Botnet tersebut sebagian besar menginfeksi perangkat di Amerika Latin; Peru menjadi negara yang menyumbang paling tinggi dengan lebih dari 90 persen.
Alan mengklaim telah menghapus sejumlah domain server perintah dan kontrol (C2), lalu mengatur server palsu (disebut sinkhole), sehingga memungkinkan pihaknya memantau dan mengendalikan aktivitas botnet. Dari temuan mereka, setidaknya ada 35.000 perangkat yang terinfeksi VictoryGate.
Menurut Alan, botnet dikendalikan menggunakan server yang tersembunyi di balik layanan DNS dinamis No-IP. Tujuan utama botnet tersebut menginfeksi perangkat korban dengan malware yang menambang mata uang kripto (cryptocurrency) Monero.
“Aktivitas utama botnet adalah penambangan Monero,” tulis Alan.
“Namun, mengingat botmaster dapat mengeluarkan perintah ke node untuk mengunduh dan mengeksekusi muatan sekunder baru pada waktu tertentu, ini bisa saja berubah di beberapa titik,” ia menjelaskan.
Berita Terkait:
- MasterMana Botnet, Si Pencuri Dompet Kripto Tambah Canggih
- Riset: Botnet Malware ‘MasterMana’ Targetkan Dompet Kripto
- Awas, Botnet Smominru Lakukan Serangan Masif
- Phorpiex, Botnet Ini Peras Korban US$ 115.000 dalam 5 Bulan
ESET bekerja sama dengan yayasan nirlaba, Shadowserver, untuk memulihkan semua perangkat komputer yang terkena botnet.
Berdasarkan data sinkhole, antara 2.000 hingga 3.500 komputer masih melakukan ping ke server C2 malware untuk perintah baru setiap hari.
Efek dari botnet tersebut, menurut Alan, bisa menghasilkan beban kerja CPU antara 90-99 persen sehingga memperlambat kinerja perangkat. “Perangkat menjadi panas berlebih dan bahkan bisa merusak,” tutur Alan.
Dugaan Alan file berbahaya itu disebarkan melalui drive USB. Namun, Alan dan timnya masih menganalisis lebih lanjut modus operandinya. Hingga kini temuan mereka baru sebatas salah satu metode distribusi botnet.
Berita Terkait:
- Waspada, Varian Botnet Gucci Targetkan Perangkat IoT
- Memahami Beda Botnet dan Malware
- Neutrino, Botnet yang Mengkanibal Botnet Hacker Lain
- Gawat, Hacker Berhasil Bobol 500 Ribu Server
"Satu-satunya vektor propagasi yang kami dapat konfirmasikan adalah melalui perangkat yang dapat dilepas. Korban menerima drive USB yang pada beberapa titik terhubung ke mesin yang terinfeksi," kata dia.
Setelah USB jahat terhubung ke komputer korban, malware diinstal pada perangkat.
Apa itu botnet?
Sebelumnya, Sekretaris Indonesia Cyber Security Forum (ICSF) Satriyo Wibowo, menuturkan, botnet merupakan bagian dari perangkat lunak jahat (malware).
Secara bahasa, botnet gabungan dua kata “bot” (robot) dan “network” (jaringan) dan diartikan sebagai sejumlah program komputer yang terhubung ke jaringan internet. Botnet selalu dikonotasikan buruk, tapi bot bisa juga dipakai untuk aktivitas positif.
Bowo, panggilan akrabnya, mengatakan, botnet bisa dikendalikan dari jauh. Umumnya botnet digunakan untuk serangan Distributed Denial of Service (DDoS)—membanjiri situs web yang ditargetkan dengan lalu lintas palsu dengan tujuan tak bisa diakses, bahkan bisa membuat peladen (server) lumpuh.
Mekanisme serangan DDoS, Bowo mengatakan, botnet-botnet yang ada berkomunikasi ke luar ke peladen C2. C2 adalah peladen utama yang digunakan untuk menghubungkan komputer yang terinfeksi secara bersamaan.
"Server inilah yang akan kasih perintah ke seluruh botnet yang sudah tertanam di mana-mana," kata dia.
Artinya, botnet-botnet yang ada tersebut sebelumnya telah menginfeksi perangkat-perangkat yang ditargetkan oleh peretas. Mereka pun telah dirancang oleh peretas untuk melakukan kerangka kerja tertentu. “Tergantung dari tujuan para aktornya,” ujar Bowo.
Namun, ada pengecualian, kata Bowo, jika botnet itu menggunakan jaringan peer-to-peer (P2P) untuk berkomunikasi, artinya tidak ada perintah dari server utama untuk menjatuhkan botnet ke target.
Menurut Bowo, botnet terkini lebih mengandalkan jaringan P2P yang ada untuk berkomunikasi. Botnet seperti ini melakukan tindakan yang sama dengan model “server–client”, tetapi mereka tidak memerlukan peladen utama untuk berkomunikasi.
"Kalau model server-client begitu [botnet] akses ke server, lalu terdeteksi dan bisa segera ditutup, [efeknya] bot akan mati. Kalau model peer-to-peer, lebih susah terdeteksinya," ujar Bowo.[]
