FBI Ingatkan Perusahaan Swasta Soal Ransomware DopplePaymer

Ilustrasi: Xass Jurnal

Cyberthreat.id - Biro Investigasi Federal Amerika Serikat (FBI) merilis pemberitahuan berisi peringatan kepada sektor swasta terkait serangan ransomware DoppelPaymer pada infrastruktur penting di negara itu.

DoppelPaymer muncul sebagai pecahan dari BitPaymer (juga dikenal sebagai FriedEx). Keduanya diyakini karya TA505, yang terkenal karena keluarga ransomware Dridex Trojan dan Locky.

"Sejak kemunculannya pada Juni 2019, ramsomware DoppelPaymer telah menginfksi berbagai industri. Pelaku secara rutin meminta tebusan dalam enam dan tujuh digit dalam bentuk Bitcoin," tulis FBI seperti diberitakan Security Week, Kamis (17 Desember 2020).

FBI mengatakan ransomware ini telah digunakan di berbagai negara untuk menyerang lembaga kesehatan, layanan darurat, dan pendidikan.

"Pelaku di belakang DoppelPaymer mempraktikan pemerasan ganda. Selain mengenkripsi sistem target dengan ransomware, mereka juga mengekstrak data yang kemudian digunakan untuk memeras korban agar membayar tebusan," FBI menambahkan.

Dalam serangan pada September 2020 yang menargetkan sebuah rumah sakit di Jerman, penyerang mencegah personel layanan darurat berkomunikasi dengan rumah sakit, memaksa perutean ulang individu yang membutuhkan layanan darurat. Orang tersebut kemudian meninggal, tetapi pihak berwenang Jerman menyalahkan kesehatan orang itu yang buruk, bukan karena serangan DoppelPaymer yang merusak sistem kerja mereka.

Sebelumnya, pada Juli 2019, DoppelPaymer menginfeksi 13 server pusat medis AS, menuntut 50 Bitcoin (sekitar US$ 600.000 pada saat itu) sebagai tebusan. Pusat medis tersebut dapat memulihkan sistemnya dari data cadangan, tetapi prosesnya memakan waktu beberapa minggu.

Sedangkan pada serangan September 2020, pelaku menggunakan DoppelPaymer untuk menyusup layanan panggilan darurat E911 suatu daerah, lalu mencegat akses ke sistem pengiriman bantuan komputer (CAD) daerah tersebut.

"Penyerang mengatur ulang kata sandi, menghapus akun dari grup administrator domain, dan membuat akun admin yang disebut AD. Dalam serangan terpisah di daerah berbeda, pelaku mengenkripsi server yang biasanya digunakan untuk pengiriman darurat, patroli, penjara, dan bagian penggajian," ungkap FBI.

Dalam serangan lainnya di tahun 2020, ransomware DopplePaymer dipakai untuk menganggu kepolisian,  layanan darurat, dan fungsi pemerintah lainnya di salah satu kota di AS. Sebagai bagian dari serangan tersebut, ransomware digunakan untuk mengenkripsi file pada sistem Windows 7, 10, Windows Server 2008, Server 2012, dan Server 2016.

Ramsomware itu juga pernah dipakai untuk menyerang sebuah komunitas sekolah dan membuat mereka harus membatalkan kelas tatap muka karena akses ke fasilitas kampus terganggu selama beberapa hari.

Berikut, rekomendasi langkah mitigasi yang diberikan oleh FBI untuk industri yang mungkin menjadi target serangan DoppelPaymer;

- Memastikan backup aman dan terputus dari jaringan di akhir setiap sesi backup.

- Mengaudit akun pengguna secara teratur, terutama akun Pemantauan dan Manajemen Jarak Jauh yang dapat diakses publik. Menambal sistem operasi, perangkat lunak, firmware, dan endpoints.

- Memantau lalu lintas jaringan masuk dan keluar; setel notifikasi untuk eksfiltrasi data.

- Menerapkan otentikasi dua faktor ke kredensial login pengguna, menerima tanggapan melalui teks daripada email mengingat pelaku mungkin mengendalikan akun email korban.

- Menerapkan hak istimewa terkecil untuk izin berbagi file, direktori, dan jaringan.[]