Geng Hacker Ransomware REvil/Sodinokibi, Si Pembobol Kelas Kakap
Ilustrasi | Foto: Unsplash
Cyberthreat.id – Produsen daging terbesar di dunia, JBS, menjadi korban serangan ransomware. Badan Investigasi Federal (FBI) menuding geng hacker REvil/Sodinokini adalah biang keroknya. Bagaimana sebetulnya jejak geng hacker ini? (Baca: Biang Keladi Serangan Ransomware ke JBS, FBI: Peretas REvil/Sodinokibi)
Selama pandemi Covid-19 berlangsung tahun lalu, operator ransomware mengalami peningkatan pendapatan. Salah satunya ransomware REvil alias Sodinokibi.
Sepanjang 2020, REvil terlihat aktif beroperasi. Pada Oktober 2020, geng hacker satu ini mengklaim telah mengumpulkan uang sekitar US$ 100 juta atau sekitar Rp1,48 triliun. (Baca: Setahun Geng REvil/Sodinokibi Klaim Kumpulkan Rp 1,48 Triliun)
Ransomware merupakan turunan dari malware yang bekerja dengan mengenkripsi atau menyandera data yang ada di perangkat. Peretas selanjutnya meminta uang tebusan kepada korban. Jika uang tebusan tak dibayar, data yang dicuri akan dijual di forum darkweb.
REvil mengeluarkan catatan tebusan ketika enkripsi telah selesai dan akan terlihat di desktop korban. File-file yang menjadi taget dienkripsi, antara lain yang berekstensi .jpg, .jpeg, .raw, .tif, .png, .bmp, .3dm, .max, .accdb, .db, .mdb, .dwg, .dxf, .cpp, .cs, .h,, php, .asp, .rb, .java, .aaf, .aep, .aepx, .pbl, .prel, .aet, .ppj, .gif, dan .psd.
Nama Sodinokibi diberikan kepada geng tersebut lantaran nama tersebut muncul di enkripsi file di perangkat korban—kebanyakan memakai sistem operasi Windows, tulis Menurut Malwarebytes, perusahaan keamanan siber AS.
REvil mengenkripsi semua file di penyimpanan (drive) lokal yang terdaftar di file konfigurasinya. Proses enkripsi oleh REvil berbeda dengan program ransomware lain yang menggunakan pertukaran kunci Diffie-Hellman kurva Elliptic-nya, bukan RSA dan Salsa20, bukan AES untuk mengenkripsi file.
Algoritma kriptografi yang digunakan REvil lebih pendek, sangat efisien dan tidak dapat dilacak jika diterapkan dengan benar. Dengan kata lain, jika dienkripsi dengan benar, proses dekripsi (membuka kunci) akan sulit dilakukan.
Hanya, sebelum mengenkripsi, operator terlihat menjatuhkan “Trojan.MalPack.GS” yang sebelumnya digunakan untuk mengirim “ransom.GandCrab”, ransomware yang telah pensiun pada 31 Mei 2019.
Karena temuan itu, di industri cybersecurity REvil sering dikaitkan dengan Ransomware-as-a-Services (RaaS) atau rental ransomware GandCrab. Tak hanya karena trojan yang dijatuhkannya persis dengan yang dibawa operator GandCrab, REvil juga muncul setelah GandCrab berhenti beroperasi atau menutup layanannya.
REvil muncul pertama kali pada April 2019 dan menjadi terkenal setelah GandCrab berhenti. (Baca: Habis GandCrab, Terbitlah REvil /Sodinokibi)
Anggota geng REvil yang menamai dirinya sebagai “Unknown” mengonfirmasi bahwa REvil merupakan penerus GandCrab dan bukan ciptaan baru melainkan dibangun di atas basis kode lama yang diperoleh grup.
Selain membawa trojan, REvil memperluas kemampuannya, yaitu meluncurkan serangan Distributed Denial of Services (DDoS) jika korban tak mau membayar uang tebusan. Sejauh ini belum ada bukti ancaman seranganDDoS ini.
Akuisisi malware KPOT
Pada November 2020, operator REvil mengakuisisi sumber kode trojan KPOT dalam sebuah lelang di forum peretasan. Menurut Proofpoint, firma keamanan siber AS, KPOT merupakan malware yang ditemukan pada 2018 dan berfungsi sebagai pencuri informasi klasik yang dapat mengekstrak dan mencuri sandi dari berbagai aplikasi di komputer yang terinfeksi.
Akhir tahun lalu juga diberitakan bahwa trojan pencuri informasi bernama Gootkit bergabung dengan geng REvil. Trojan Gootkit adalah malware berbasis JavaScript yang melakukan berbagai aktivitas berbahaya, termasuk akses jarak jauh, tangkapan keystroke, perekaman video, pencurian email, pencurian kata sandi, dan kemampuan untuk menyuntikkan skrip berbahaya untuk mencuri kredensial perbankan online.
Dalam sebuah wawancara pada 23 Oktober 2020, seperti dikutip dari Intel471, anggota REvil mengatakan, ransomware mereka dijalankan oleh 10 pengembang (developer). Korban Revil yaitu 60 persen berasal dari Amerika Serikat, Inggris, Australia, dan Kanada.
Diduga geng REvil berasal dari Rusia, lantaran semua anggotanya diketahui berbicara dengan bahasa Rusia. Geng diduga kuat beroperasi di suatu tempat di Rusia dan Eropa Timur.
Vektor infeksi awal
REvil dioperasikan oleh manusia, sama halnya ransomware Ryuk atau WastedLocker dan lainnya. Setelah berhasil masuk ke jaringan korban, peretas menggunakan berbagai alat dan teknik untuk memetakan jaringan, melakukan gerakan lateral, mendapatkan hak istimewa administrator domain, dan menyebarkan ransomware di semua komputer untuk memaksimalkan dampaknya.
Karena dioperasikan oleh orang-orang berbeda, tergantung siapa yang bekerja sama dengan geng tersebut, vektor akses awal memiliki perbedaan.
Vektor awal bisa berupa email phishing dengan lampiran berbahaya, kredensial Remote Desktop Protocol (RDP) yang disusup,i dan eksploitasi kerentanan di berbagai layanan yang berhubungan dengan publik.
Namun, RDP disebut-sebut, salah satu cara paling umum yang dimanfaatkan geng REvil masuk ke jaringan korban.
Menurut Coveware, perusahaan spesialis menangani ransomware, pada November 2020, REvil mendistribusikan alatnya melalui RDP (65 persen), phishing (16 persen), dan kerentanan perangkat lunak (8 persen). Selain itu, serangan brute force juga digunakan oleh peretas, tutur “Unknown”.
Kemudian, ransomware mematikan beberapa proses pada perangkat yang disusupinya, termasuk klien email, SQL dan server basis data lainnya, program Microsoft Office, peramban web, dan alat lain yang mungkin membuat file penting terkunci atau dicadangkan ke dalam RAM.
Ransomware juga memiliki kemampuan untuk menghapus salinan Windows dan cadangan lainnya untuk mencegah korbannya memulihkan datanya dengan sendiri.
Dari analisis Darktrace pada November 2020, REvil dalam beraksi butuh waktu selama tiga pekan. Ini berdasarkan data serangan terhadap sebuah organisasi ritel di Amerika Serikat.
REvil layaknya grup peretas lainnya yang menerapkan pemerasan ganda: mengancam akan mempublikasikan data jika uang tebusan tak dibayar.
Hanya, membayar peretas tidak membuat masalah terselesaikan. Coverware mengatakan beberapa korban REvil memang membayar pelaku agar datanya tidak dibocorkan, tetapi peretas tidak menepati janjinya. Memang sebagian kasus mereka menepati janji, tapi dengan kurun waktu tertentu.
Menurut Coverware, membayar pemerasan ganda ini tidak sama halnya saat membayar kunci dekripsi yang dipakai untuk membuka data yang dienkripsi. Kunci dekripsi itu memang diberikan, hanya, karena data sudah di tangan peretas, alhasil tidak dapat dipastikan apakah peretas memang benar menepati janjinya: data tersebut tidak akan disebarluaskan. Inilah mengapa tak disarankan untuk membayar uang tebusan.
Sejauh ini terdapat 12 kasus yang telah membayar kunci dekripsi, tapi tak berhasil untuk membuka enkripsi file. Ini lantaran korban telah mengutak-atik file itu dengan harapan dapat terpulihkan, tetapi jadi rusak.
Para korban ransomware REvil
Sejauh ini, REvil sama sekali tak pernah menargetkan perusahaan di Suriah, tulis Krebsonsecurity.
Tampaknya ini berhubungan dengan serangan ransomware GandCrab terhadap warga Suriah. Pada Oktober 2018, seorang lelaki di Suriah menulis cuitan melalui Twitter-nya bahwa dia telah kehilangan akses ke semua foto anak-anaknya yang telah meninggal karena komputernya terinfeksi GandCrab.
Ia mengaku tidak memiliki uang untuk membayar tebusan pada saat itu. Hal ini yang sekiranya meluluhkan hati para geng GandCrab, hingga mereka membuka kunci file mereka secara gratis.
Pada September 2019, Trend Micro mencatat REvil pernah menyerang kota Texas, AS. Serangan itu tepatnya terjadi pada 16 Agustus 2019 dan lebih dari setengah kota Texas terdampak. Kala itu, peretas REvil meminta uang tebusan sebesar US$2,5 juta, tetapi tidak dibayar oleh Pemkot Texas.
Masih di 2019, REvil menyerang Complete Technology Solutions (CTS), vendor TI berbasis di Colorado. Serangan itu menyebabkan 100 layanan praktik kedokteran gigi terganggu. Grup REvil meminta tebusan sebesar US$700 ribu untuk membuka kunci sistem yang terinfeksi. Namun, CTS menolak untuk membayarnya.
Pada malam tahun baru 2020, REvil menyerang Travelex, perusahaan pertukaran mata uang asing asal London. Aksi peretas ini membuat layanan Travelex lumpuh baik situs web, aplikasi maupun jaringan internalnya. Perusahaanpun membayar peretas US$2,3 juta dalam bentuk bitcoin.
Microsoft mengatakan bahwa REvil sedang menargetkan sektor kritis yang sedang menghadapi krisis pandemi Covid-19, tepatnya pada April 2020. Tak hanya REvil saja, beberapa grup ransomware juga aktif melakukan kampanye ini.
Pada Mei 2020, dikabarkan REvil menyerang kantor hukum artis, Grubman Shire Meiselas & Sacks yang berbasis di New York, AS. Perusahaan ini terkenal dengan klien selebritas papan atas Hollywood, seperti Madonna, Lady Gaga, Mike Tyson, Drake. Peretas meminta uang tebusan sebesar US$21 juta, tetapi firma hukum menolak membayarnya, sehingga peretas membocorkan data yang dicurinya sebesar 2,4 GB.
Peretas juga menyerang perusahaan energi Inggris yang juga operator pembangkit listrik, Elexon. Saat itu, peretas mengeksploitasi kerentanan pada perangkat lunak Pulse Secure VPN yang dijalankan perusahaan. Data yang berhasil dicuri peretas pun pada akhirnya dikabarkan dipublikasikan.
Pada Juni 2020, REvil membuat lelang di situs kebocoran data miliknya. Data yang dilelangnya itu merupakan file yang dicurinya dari firma hukum itu. Harganya dilelang mulai dari US$ 600.000 untuk masing-masing dari tiga lot data yang di dalamnya terdapat data Mariah Carey, Nicki Minaj, dan pemain basket LeBron James.
Pada 18 Juli 2020, perusahaan jaringan internal Telecom Argentina menjadi korban REvil. Minta uang tebusan senilai US$7,5 juta jika perusahaan menginginkan filenya terbuka atau bisa diakses kembali.
Lima hari berselang, perusahaan kereta Spanyol ADIF (Administrador de Infraestructuras Ferroviarias) diserang REvil.
Agustus 2020, produsen anggur dan minuman alkohol ternama AS, Brown-Forman juga dikabarkan mengalami pelanggaran data. Produsen merk Jack Daniels ini mengklaim tidak melakukan negosiasi pembayaran dengan REvil.
Awal September 2020, salah satu bank terkemuka di Chili, BancoEstado diserang REvil sehingga menutup semua cabangnya.
Dan sebelum pengujung akhir tahun, November 2020, REvil menyerang penyedia hosting web Managed.com dan meminta tebusan sebesa Rp7,1 miliar.
Mengawali tahun ini, aksi mereka dimulai dengan menyerang raksasa ritel di Asia, Dairy Farm Group. Serangan itu dikatakan terjadi pada 14 Januari 2021 dan peretas meminta tebusan sebesar US$30 juta. Diketahui, perusahaan ini mengoperasikan banyak merek toko di pasar Asia, antara lain Giant, Hero, 7-eleven dan sebagainya.[]
Redaktur: Andi Nugroho
Catatan: Artikel ini pertama kali dipublikasikan pada pertengahan Februari lalu. Kami sengaja mempublikasikan ulang untuk memberikan konteks historis tentang jejak kriminal geng hacker ini setelah kejadian penyerangan ke produsen daging terbesar di dunia, JBS.
