Gawat! GandCrab Si Pengembang Ransomware Bangkit Lagi
Ilustrasi. | Foto: hackernoon.com
Cyberthreat.id – Meski dikabarkan pensiun, kelompok berbahaya GandCrab ternyata hanya hiatus.
Peretas yang terkenal dengan serangan ransomware tersebut baru-baru ini terdeteksi mulai aktif kembali. Mereka mulai melakukan gelombang serangan baru.
Temuan tersebut setelah tim peneliti Secureworks Counter Threat Unit, perusahaan keamanan siber asal Atlanta, Amerika Serikat, menganalisis jenis virus komputer baru. Mereka menduga kuat serangan itu berasal dari GrandCrab, demikian seperti dikutip dari BBC, Rabu (24 September 2019).
GandCrab disinyalir berasal dari Rusia yang menjual perangkat lunak jahat ransomware kepada para penjahat siber. Kode-kode jahat mereka mengacak data di komputer korban, mengunci sistem, dan ujung-ujungnya meminta uang tebusan. Selama riwayat aksinya, mereka diperkirakan telah mempengaruhi lebih dari 1,5 juta komputer.
Berita Terkait:
- Decryptor Ransomware Gandcrab Telah Dirilis
- Habis GandCrab, Terbitlah REvil /Sodinokibi
- FBI Rilis Master Key Ransomware GandCrab
Pada Juni lalu, grup tersebut mengejutkan banyak pihak di industri keamanan ketika mengumumkan "pensiun" setelah menghasilkan lebih dari US$ 2 miliar dalam sebuah transaksi penjualan perangkat lunak jahatnya. Seseorang yang mengaku sebagai bagian dari grup mengklaim telah "mencairkan" pendapatannya dan keluar dari bisnis, tulis BBC.
Grup tersebut sebetulnya sudah aktif sejak sekitar Januari 2018. Dalam temuan terbaru, Secureworks telah mengaitkan kelompok itu dengan jenis ransomware baru yang disebut REvil atau Sondinokibi.
Ransomware REvil telah menyebabkan gangguan besar pada ratusan praktik dokter gigi di AS serta jaringan milik 22 pemerintah kota di Texas. REvil pertama akali muncul tak lama sebelum GandCrab menyatakan “pensiun”.
Dalam analisis peneliti keamanan informasi Secureworks, Rafe Pilling, menyebutkan fungsi decoding string yang digunakan oleh REvil dan GandCrab hampir identik, menunjukkan hubungan yang kuat antara dua bentuk ransomware. REvil dan GandCrab juga berbagi fungsionalitas pembuatan URL yang menghasilkan pola URL yang sama untuk server perintah dan kontrol.
“Ada juga bukti bahwa REvil pada awalnya hanya dimaksudkan untuk menjadi versi baru ransomware GandCrab,” tulis ZDNet.
Ini karena analisis versi beta REvil mengungkapkan bahwa ada garis-garis dalam kode yang tampaknya menjadi referensi ke GandCrab. Ini termasuk 'gcfin', yang diyakini para peneliti adalah singkatan dari 'GandCrab Final', dan 'gc6', yang diyakini merupakan singkatan dari GandCrab 6.
Selain kesamaan dalam kode, baik REvil dan GandCrab daftar putih layout keyboard tertentu sehingga tidak menginfeksi host berbasis Rusia. Meskipun ini tidak secara langsung menautkan kedua operasi, itu menunjukkan mereka berbasis di wilayah yang sama.
REvil telah menjadi salah satu bentuk ransomware paling terkenal dan peneliti memperingatkan bahwa itu akan menggantikan GandCrab sebagai ancaman ransomware yang paling luas.
Untuk membatasi kerusakan serangan ransomware, disarankan agar organisasi secara teratur mencadangkan data mereka dan menambal sistem untuk melindungi dari serangan siber yang menyebar dengan mengeksploitasi kerentanan lama.
"Kami tidak terkejut kelompok itu muncul kembali," kata Don Smith, Direktur Secureworks Counter Threat Unit.
"GandCrab menawarkan imbalan yang baik bagi para aktor kriminal. Tidak mungkin sebuah kelompok yang sudah ada dan mahir akan pergi begitu saja.”
"Mungkin saja mereka ingin mengurangi perhatian keseluruhan yang difokuskan pada label GandCrab dan meluncurkan kembali dengan produk baru," kata Smith.
