Mengenal Sepak Terjang Geng Hacker Ransomware Conti
Cyberthreat.id – Awal Januari 2021, Badan Perlindungan Lingkungan Skotlandia (SEPA)—sepertinya halnya BNPB di Indonesia—menjadi korban serangan ransomware Conti.
Peretas Conti tersebut terbilang pemain baru di geng ransomware karena pertama kali muncul pada 29 Mei 2020. Saat pertama kali muncul, mereka mengklaim berhasil menyerang sebanyak 150 korban dengan jumlah tebusan jutaan dolar.
Ransomware adalah jenis perangkat lunak jahat (malware) yang mengenkripsi sistem dan meminta tebusan kepada pemilik sistem jika pemilik ingin datanya bisa diakses kembali atau didekripsi.
Seperti geng ransomware pada umumnya, Conti juga mengikuti tren pemerasan ganda. Tak hanya memeras, mereka juga mencuri data, lalu mengancam akan mempublikasikan data yang dicurinya tersebut jika tebusan tidak dibayar. Itulah yang disebut pemerasan ganda.
Conti memiliki situs web resminya untuk mempublikasikan data curiannya itu, laiknya geng Egregor (Egregor News) dan geng Maze (Maze News). Situs web bernama Conti News berisikan daftar korban atau entitas yang pernah diserang disertai data yang berhasil dicurinya.
Conti disebut ancaman yang sangat merusak lantaran tak hanya mengenkripsi file pada host yang terinfeksi, tetapi juga memiliki kemampuan penyebarannya melalui server message block (SMB)— berfungsi sebagai peladen (server) yang bekerja mengirim dan menerima data melalui port 445—serta mengenkripsi file pada host yang berbeda.
“Inila mengapa berpotensi membahayakan seluruh jaringan,” kata perusahaan keamanan siber Cybereason, yang dikutip dari situs webnya, diakses Jumat (22 Januari 2021).
Cybereason mengatakan proses enkripsi Conti hanya membutuhkan beberapa detik karena menggunakan multithreading sehingga memungkinkan pemrosesan beberapa tugas sekaligus. “Yang juga membuatnya sangat sulit untuk dihentikan begitu rutinitas enkripsi dimulai,” kata Cybereason.
Selain mengenkripsi hingga mempublikasikan data curian, Conti juga sebagai ransomware-as-a-service/RaaS (layanan ransomware yang ditawarkan ke pengguna) berkolaborasi dengan geng TrickBot. Karena promosi dibantu oleh TrickBot, Conti pun disebut menggantikan geng Ryuk atau penerusnya.
Baca:
- Riset: Geng Ransomware Belum Tentu Penuhi Janji Menghapus Data yang Dicuri Meski Dibayar
- Operator Ransomware Conti Baru Saja Merilis Situs Data Dumping
Vektor infeksi
Mengingat menjadi RaaS, Conti menginfeksi pada tahap kedua. Tahap pertama dilakukan “BazarLoader”, malware pintu belakang (backdoor), yang memang seringkali menjadi tahap awal infeksi sebelum adanya muatan tambahan.
Vektor infeksi awal untuk memuat malware tahap awal ini melalui email phishing. Penyerang mencoba menginfeksi korban dengan email phishing berisi tautan ke Google Drive. File yang ada di Google Drive yakni berbentuk PDF yang menyimpan muatan backdoor. Nanti, backdoor itulah yang menaruh atau sebagai pembawa muatan ransomware Conti.
Sejauh ini, vektor infeksinya tidak berubah meskipun sudah mengalami tiga kali perubahan pada ransomware-nya, menurut peneliti Cybereason.
Tiga versi sejak Mei hingga akhir 2020
Ransomware Conti telah melalui tiga versi. Awalnya ketika muncul pertama kali pada 29 Mei 2020, versi dua pada Oktobe 2020r, dan versi tiga pada November dan Desember 2020.
Operartor Conti menambahkan banyak kemampuan yang membuat ransomware itu semakin canggih dalam merusak sistem. Salah satu perubahan signifikan ada pada nama file catatan tebusan dari Conti_readme.txt menjadi readme.txt pada Desember 2020.
Begitu pula email atau URL yang disematkan memiliki perubahan dari versi pertama hingga ketiga, bnetuknya, aktivitas penyebaran melalui SMBnya yang semakin hari dapat bertindak tanpa argumen baris perintah, hingga catatan tebusan yang terlihat semakin banyak kalimat di dalamnya.
Adapun perubahannya pada versi pertama hanya mengeksekusi secara independen berubah menjadi tambahan Loader (pemuat) dynamic link library (DLL)—jenis file yang berisi instruksi yang dapat dipanggil oleh program lain untuk melakukan hal-hal tertentu.
Eksekusi ransomware Conti
Versi tiga Conti memiliki dua bentuk yakni eksekusi independen dan yang lainnya adalah pemuat yang memuat DLL dari bagian sumber daya dan menjalankannya.
API yang digunakan operator ransomware untuk berinteraksi dengan sumber dayanya menggunakan “GetProcAddress”. Pemuat DLL pun kemudian mendekripsi muatan menggunakan kunci hardcode dan memuatnya ke dalam memori.
Setelah DLL dimuat, Conti mulai mengenkripsi dan menyebar ke seluruh sistem. Penyebarannya melalui pemindaian jaringan untuk SMB (port 445). Proses enkripsi pun dilakukan dari jarak jauh setelah ransomware menemukan folder bersama yang dapat diaksesnya.
Lalu, Conti menggunakan teknik multithreading-nya sehingga hanya dalam hitungan menit (tergantung pada file di mesin) sudah bisa menguasai atau mengenkripsi sistem korban. Setelah dienkripsi, malware pun meninggalkan catatan tebusan di setiap folder agar korban melihatnya.
Dalam catatan tebusan, seperti teknik pemerasan ganda, Conti mengancam kepada korban jika tidak membayar tebusan sesuai tenggat waktu yang telah ditentukan maka geng Conti akan membocorkan data korban di situs web mereka “Conti News”.
Siapa saja korban Conti?
Berdasarkan laman Blackfog, Conti dikaitkan dengan serangan terhadap Pengadilan Distrik Keempat Louisiana pada September 2020. (Baca: Ransomware Conti Serang Kantor Pengadilan AS, Pertama Kali Dokumen Pengadilan Diumbar di Dark Web)
Masih di bulan yang sama, data yang dicuri dari Manitoulin Transport, perusahaan angkutan truk terbesar di Kanada diposting oleh Conti di situs webnya.
Pada Oktober 2020, ada pialang bea cukai dan pengirim barang berbasis di Texas, Daniel B. Hastings yang mengalami nasib serupa, datanya diunggah di Conti News. Ada pula, Daseke—perusahaan truk Amerika Serikat—yang juga jadi korban di bulan yang sama.
Pada November 2020, perusahaan otomasi industri dan pembuat chip Internet of Things (IoT), Advantech, diserang oleh Conti dan meminta tebusan sebesar US$14 juta.
Pada Desember 2020, Conti juga mengklaim menyerang TSYS, perusahaan pemrosesan pembayaran yang berbasis di Georgia dengan data yang dipublikasikannya sebesar 10 GB. TSYS tidak mengkonfirmasi apakah membayar tebusan atau tidak.
Terakhir, di bulan Desember, Conti juga menyerang perusahaan produsen perangkat keras dan perangkat lunak Voice-over-IP (VoIP) Kanada, Sangoma Technologies, data juga dipublikasikan secara online.
Bagaimana mencegah ransomware Conti?
Cybereason mengatakan perlunya menggunakan anti-malware, menambah sistem agar kerentanan berkurang, mencadangkan file ke server jarak jauh, gunakan solusi keamanan seperti firewall, proxy, pemfilteran web, dan pemfilteran email.[]
Redaktur: Andi Nugroho