Ganasnya DoppelPaymer, Penyandera Data yang Menyerang Kontraktor NASA hingga Pemasok Boeing dan Tesla

Ilustrasi via CrowdStrike

Cyberthreat.id - Baru-baru ini pemerintah Delaware County (setingkat kabupaten) di Pennsylvania, Amerika Serikat membayar tebusan sebesar US$500 ribu (setara Rp7,06 miliar) kepada pelaku ransomware DoppelPaymer.  (Lihat: Diserang Ransomware DoppelPaymer, Kota di Amerika Bayar Tebusan Rp7 Miliar)

Apa sih DoppelPaymer itu? DoppelPaymer merupakan malware jenis ransomware yang dapat menyandera file korban dengan cara mengenkripsinya. Dengan begitu, korban tak bisa mengakses file di jaringan komputernya. Supaya file bisa kembali diakses, pelaku biasanya meminta sejumlah uang tebusan dalam bentuk bitcoin untuk menghindari pelacakan, lalu mengirimkan pembuka enkripsinya.

Nama DoppelPaymer diberikan oleh para peneliti untuk mengidentifikasi varian baru ransomware yang ditemukan di alam bebas. Menurut CrowdStrike, DoppelPaymer diketahui mulai ada pada Juni 2019, hanya saja pada April dia terlihat tetapi dengan versi yang tidak memiliki banyak fitur baru yang dimilikinya pada Juni 2019. Selama 2019, DoppelPaymer menyerang lembaga pemerintah, yakni Kota Edcouch, Texas dan Kementerian Pertanian Chili, serta  Perusahaan minyak milik negara, Pemex.

“Versi sebelumnya ini kehilangan banyak fitur baru yang ditemukan di varian selanjutnya, jadi tidak jelas apakah mereka dikerahkan ke korban atau hanya dibuat untuk pengujian,” kata CrowdStrike.

Berdasarkan kode sumbernya DoppelPaymer pun dikatakan sebagai evolusi dari ransomware BitPaymer  yang dioperasikan oleh grup penyerang Indrik Spider. Hanya saja ada beberapa perbedaan antara DoppelPaymer dan BitPaymer.

Dari sisi enkripsi, DoppelPaymer menggunakan RSA 2048-bit ditambah AES 256-bit, sedangkan BitPaymer menggunakan RSA 4096-bit ditambah AES 256-bit, dan versi lamanya menggunakan RSA 1024-bit ditambah RC4 128-bit. Begitu pula dengan nama file tebusannya, DoppelPaymer mengganti file yang dienkripsi dengan ekstensi .locked, sementara BitPaymer mengganti dengan nama korban sebagai ekstensi. Serta di catatan tebusannya, DoppelPaymer menulis kata “DATA” untuk mengidentifikasi kunci terenkripsi, sedangkan Bitpaymer menggunakan kata kunci “KEY".

Untuk persamaannya, itu yang digunakan oleh DoppelPaymer sama dengan BitPaymer,yakni dalam catatan tebusan URL untuk portal pembayarannya berbasis TOR.

Dari contoh yang diberikan CrowdStrike, halaman web portal tebusannya bahkan identik dengan portal milik BitPaymer asli. Mirip dari segi judul BitPaymer dan adanya ID unik untuk mengidentifikasi korban. Selain itu, dalam portal itu terdapat jumlah tebusan beserta hitung mundur dan alamat pembayaran tebusan berbentuk bitcoin.

DoppelPaymer pun memiliki kode sumber yang dimodifikasi sedikit, di mana DoppelPaymer dibuat lebih meningkat fungionalitasnya. “Misalnya, enkripsi file sekarang berulir, yang dapat meningkatkan kecepatan file dienkripsi”. kata CrowdStrike.

Dikutip dari perusahaan keamanan siber, Proficio, DoppelPaymer juga menggunakan teknik yang disebut sebagai ProcessHacker, tools sumber terbuka untuk menghentikan beberapa proses dan layanan yang dapat menganggu enkripsi file. Tak hanya itu, dalam versi terbarunya dari DoppelPaymer ini menggunakan ekstensi “.doppeled” untuk file terenkripsi.
 

Metode distribusi
Menurut Proficio, DoppelPaymer mengamati adanya lonjakan kasus ransomware yang memanfaatkan Covid-19. DoppelPaymer, kata Proficio, biasanya dibawa oleh trojan Dridex. Dengan kata lain, adanya infeksi berantai, dari Trojan lalu membawa ransomware DoppelPaymer. Selain Trojan, Malware lain pun bisa dipasang bersamaan saat infeksi ransomware Doppelpaymer.

Tetapi tidak itu saja, ada beberapa metode distribusi yang diamati selama setahun ini yang membawa DoppelPaymer antara lain konfigurasi Remote Desktop Protocol (RDP) untuk remote jarak jauh yang tidak aman, email spam dan lampiran berbahaya, download yang menipu, botnet, eksploitasi, iklan berbahaya, injeksi web, pembaruan palsu, dikemas ulang, dan instalan yang terinfeksi.

Biasanya, seperti dikutip dari PCRisk, melakukan infeksi awal dengan mengirim email dengan file terlampir. Jika dibuka, ini menginstal perangkat lunak berbahaya. Contoh file yang biasanya mereka lampirkan adalah dokumen Microsoft Office dan PDF, file seperti ZIP, RAR, file executable (.exe dan lainnya), dan file JavaScript. Emailnya pun berpura-pura sebagai email resmi, penting dan sebagainya.

Ketika berhasil menginfeksi korban maka enkripsi data berhasil dilakukan dan file korban akan diganti namanya, serta adanya catatan tebusan dalam format file teks yang dapat ditemukan dalam sistem korban.

Dalam catatan tebusan tidak disebutkan jumlah tebusan yang diminta operator DoppelPaymer. Korban harus mengunjungi portal pembayaran yang dituliskan dalam catatan tebusan itu. Dengan artian, mengunduh peramban web Tor dan kemudian mengetik alamat Tor portal pembayaran DoppelPaymer.

Setelah portal diakses dari Tor, korban akan diberikan beberapa informasi penting, seperti penghitung waktu mundur untuk harga khususnya, ID referensi unik yang digunakan untuk mengidentifikasi korban, jumlah tebusan, dan BTC alamat tujuan pengiriman uang tebusan.


Mempublikasikan data curian sejak 2020
Jika korban tidak membayar tebusan itu, maka datanya akan dijual ke forum kebocoran data. Ini merupakan tren para grup ransomware, mengancam korban yang tidak membayar tebusan dengan mempublikasikan data yang dicurinya ke situs kebocoran data agar mempermalukan para korban yang tidak bersedia membayar uang tebusan.

Pengembang ransomware DoppelPaymer mulai membocorkan informasi yang dicurinya dari berbagai korban itu pada 27 Februari 2020. Data disimpan di situs publik bernama “Dopple Leaks” yang dihosting di jaringan Tor.
 

Korban DoppelPaymer pada 2020
Menurut Avast pada Januari 2020, DoppelPaymer menyerang perusahaan jasa keuangan yang berbasis di Amerika Serikat dengan jumlah tebusan US$150.000,serta perusahaan telekomunikasi berbasis cloud Prancis dengan tebusan US$330.000. ( Lihat: https://blog.avast.com/doppelpaymer-ransomware-resurgence-avast)

Padal  Maret 2020, DoppelPaymer menghantam produsen elektronik kesehatan dan militer, Kimchuk. (Baca: Pabrik Peralatan Medis Kimchuk Dihantam Ransomware).

April 2020, grup ini dikabarkan menyerang Visser Precision, produsen yang berbasis di Denver, yang memasok suku cadang ke organisasi seperti Boeing, Lockheed Martin, Tesla dan SpaceX.

Selain itu,  DoppelPaymer menargetkan sebuah kota di Los Angeles County, City Of Torrance. Grup ransomware ini mengklaim telah mencuri lebih dari 200 GB data sensitf, termasuk data anggaran keuangan, dokumen akuntansi, dan arsip dokumen milik Manajer Kota. Tebusan yang diminta sebesar 100 Bitcoin. (Lihat: Ransomware DoppelPaymer Serang Pinggiran Kota AS, Curi 200 GB Data)
Juni 2020, DoppelPaymer menginfeksi jaringan Digital Management Inc(DMI), salah satu kontraktor IT NASA. Di bulan yang sama, menargetkan Avon, salah satu merek global yang memproduksi dan mendistribusikan produk kosmetik. (Baca: Setelah Avon, Geng DoppelPaymer Diduga Mengincar Organisasi Ritel)

Agustus 2020, DoppelPaymer menyerang Universitas riset Inggris, Newscastle University. Akibat serangan itu sebagian besar sistem universitas tidak dapat diakses atau dibatasi tanpa batas waktu. (Lihat: Diserang Ransomware, Universitas Newcastle Masih Berjuang Pulihkan Sistem).

November 2020, DoppelPaymer menyerang produsen laptop asal Taiwan, Compal Electronics dan meminta tebusan sebesar US$17 juta atau setara Rp239,33 miliar. (Baca: Produsen Laptop Terbesar Kedua di Dunia Diserang Ransomware DoppelPaymer)

Masih di bulan November, DoppelPaymer menyerang perusahaan produksi siaran dan distribusi yang berbasis di Prancis yang memproduseri program populer seperti MasterChef dan Big Brother, yaitu Banijay Group. (Baca: Produser MasterChef Alami Serangan Ransomware, Data Sensitif Dicuri).

Baru-baru ini,  akhir November, Pemerintah Delaware County (setingkat kabupaten) di Pennsylvania, Amerika Serikat, dilaporkan telah membayar tebusan dengan bitcoin senilai US$ 500 ribu (setara Rp7,06 miliar dengan kurs hari ini) ke DoppelPaymer.

Cara melindungi diri dari Ransomware
Menurut PCRisk, menghapus ransomware pun hanya sekedar untuk mencegah enkripsi lebih lanjut, tetapi tidak mengembalikan data yang telah dienkripsi. Sementara itu, semua file dienkripsi itu tidak dapat dibuka tanpa membayar uang tebusan. Pasalnya, DoppelPaymer mengenkripsi file dengan algoritme yang kuat, dan karenanya tidak mungkin bagi korban untuk mendapatkan data yang telah dienkripsi itu tanpa alat khusus yang hanya dimiliki oleh pengembang ransomware.

Namun, sayangnya, dalam sejumlah kasus, grup ransomware malah tidak mengirimkan kunci dekripsinya meskipun uang tebusan telah dibayarkan.

Untuk langkah mitigasinya saat terinfeksi DoppelPaymer, PCRisk memiliki beberapa langkah sebagai berikut:

  • Mengisolasi perangkat yang terinfeksi
  1. Putuskan sambungan dari internet dengan cara:
    - Dari Control Panel > klik bilah pencarian di pojok kanan atas layar, masukkan “Network and Sharing Center/Jaringan dan Pusat Berbagi” dan pilih hasil pencarian.
    - Klik opsi “Change adapter settings/Ubah pengaturan adaptor” di sudut kiri atas jendela
    - Klik kanan pada setiap titik koneksi dan pilih “Disable”. Setelah dinonaktifkan, sistem tidak akan lagi terhubung ke internet. Untuk mengaktifkan kembali titik koneksi, cukup klik kanan lagi dan pilih “Aktifkan”.  2. Cabut semua perangkat penyimpanan
    - ke “My Computer/Komputer Saya”, klik kanan pada setiap perangkat yang terhubung dan pilih “Eject/Keluarkan”
    - Keluar dari akun penyimpanan cloud

Identifikasi infeksi ransomware

Untuk menangani infeksi dengan benar, berarti harus mengindentifikasinya terlebih dahulu. Beberapa infeksi ransomware menggunakan pesan permintaan tebusan sebagai pengantar. Dalam kebanyakan kasus, infeksi ransomware mengirimkan lebih banyak pesan langsung hanya dengan menyatakan bahwa data dienkripsi dan korban harus membayar semacam tebusan.

Cara lain yakni memeriksa ekstensi file, yang ditambahkan ke setiap file terenkripsi. Tak hanya itu, Anda dapt mengidentifikasinya melalui situs web ID ransomware. Layanan ini mendukung sebagian besar infeksi ransomware yang ada. Korban cukup mengunggah pesan tebusan dan atau satu file terenkripsi (atau dua halnya).

Ransomware akan diidentifikasi dalam beberapa detik dan Anda akan diberikan berbagai detail, seperti nama keluarga malware yang memiliki infeksi, apakah itu dapat didekripsi dan seterusnya. 

Cari alat dekripsi ransomware   

Jika enkripsi dilakukan oleh pengembang itu sangat canggih maka hanya pengembang yang dapat memulihkan datanya. Namun, beberapa infeksi jenis ransomware tidak secanggih itu dan memiliki kekurangan, sehingga selalu periksa alat dekripsi yang tersedia untuk setiap ransomware yang menyusup ke komputer Anda. Itu dapat dilakukan melalui situs web No More Ransom Project . Situs web itu berisi bagian “Alat Dekripsi” dengan bilah pencarian. Masukkan nama ransomware yang diidentifikasi dan semua dekripsi yang tersedia akan dicantumkan.

Mengembalikan file dengan alat pemulihan data

Anda dapat menggunakan EaseUS Data Recovery Wizard Pro untuk memulihkan data. Alat ini mendukung lebih dari seribu jenis data (grafik, video, audio, dokumen, dll). Ketika setelah mengunduhnya, maka lakukan hal ini:

  1. Lakukan pemindaian, arahkan mouse Anda ke bagian yang ingin Anda pindai dan pilih “Pindai”. Anda juga dapat memilih folder tertentu, atau mengklik ikon pintasan untuk memindai Desktop atau Recycle Bin. Tunggu hingga selesai memindai.
     
  2. Pulihkan data Setelah proses selesai, pilih folder/file yang ingin Anda pulihkan dan cukup klik “Pulihkan”. Perhatikan bahwa dibutuhkan ruang kosong di drive penyimpanan Anda untuk memulihkan data. Versi uji coba dari tools ini mampu memindai drive dan mencantumkan file yang dapat dipulihkan tetapi harus membayar lisensi untuk memulihkannya.
     
  3. Simpan sesi pemindaian Cukup klik ikon “Simpan Sesi Pindai” di sudut kanan atas layar dan pilih lokasi untuk menyimpan file. Namun perlu diperhatikan bahwa data yang dihapus setelah sesi pemindaian selesai tidak akan dicantumkan.

Membuat backup data

Manajemen file yang tepat dan membuat cadangan sangatlah penting untuk keamanan data. Simpanlah dibeberapa manajemen partisi [tempat penyimpanan di komputer] yang berbeda-beda dan tidak menyimpan di partisi yang berisikan seluruh sistem operasi. Selain itu, metode pencadangan lainnya yakni dengan penyimpanan eksternal dan tetap mencabutnya, seperti ke hard drive eksternal, flashdisk atau perangkat penyimpanan lainnya. []

Editor: Yuswardi A. Suud