Ransomware adalah jenis perangkat lunak berbahaya yang dirancang untuk mengunci file di komputer atau sistem hingga uang tebusan dibayarkan. Salah satu ransomware pertama yang pernah didokumentasikan adalah PC Cyborg 1989—itu menuntut pembayaran tebusan $189 yang sedikit untuk mendekripsi file yang terkunci.
Teknologi komputer telah berkembang pesat sejak 1989, dan ransomware telah berkembang bersamanya, yang mengarah ke varian yang kompleks dan kuat seperti WastedLocker. Jadi bagaimana cara kerja WastedLocker? Siapa yang terkena dampaknya? Dan bagaimana Anda bisa melindungi perangkat Anda?
Apa Itu WastedLocker dan Bagaimana Cara Kerjanya?
Pertama kali ditemukan pada awal 2020, WastedLocker dioperasikan oleh yang terkenal kelompok peretas Evil Corp, yang juga dikenal sebagai INDRIK SPIDER atau geng Dridex, dan kemungkinan besar memiliki hubungan dengan badan intelijen Rusia.
Kantor Pengawasan Aset Asing Departemen Keuangan Amerika Serikat mengeluarkan sanksi terhadap Evil Corp pada tahun 2019 dan Departemen Kehakiman mendakwa tersangka pemimpinnya Maksim Yakubets, yang telah memaksa kelompok tersebut untuk mengubah taktik.
Serangan WastedLocker biasanya dimulai dengan SocGholish, Trojan Akses Jarak Jauh (RAT) yang meniru browser dan pembaruan Flash untuk mengelabui target agar mengunduh file berbahaya.
TERKAIT: Apa itu Trojan Akses Jarak Jauh?
Setelah target mengunduh pembaruan palsu, WastedLocker mengenkripsi secara efektif semua file di komputer mereka dan menambahkannya dengan "terbuang", yang tampaknya merupakan anggukan pada meme internet yang terinspirasi oleh video game Grand Theft Auto seri.
Jadi, misalnya, file yang awalnya bernama "muo.docx" akan muncul sebagai "muo.docx.wasted" pada mesin yang disusupi.
Untuk mengunci file, WastedLocker menggunakan kombinasi Advanced Encryption Standard (AES) dan Algoritme enkripsi Rivest-Shamir-Adleman (RSA), yang membuat dekripsi hampir mustahil tanpa Evil Kunci pribadi Corp.
Algoritme enkripsi AES digunakan oleh lembaga keuangan dan pemerintah—Badan Keamanan Nasional (NSA), misalnya, menggunakannya untuk melindungi informasi rahasia.
Dinamakan setelah tiga ilmuwan Massachusetts Institute of Technology (MIT) yang pertama kali menggambarkannya secara publik di 1970-an, algoritma enkripsi RSA jauh lebih lambat daripada AES dan sebagian besar digunakan untuk mengenkripsi sejumlah kecil data.
WastedLocker meninggalkan catatan tebusan untuk setiap file yang dienkripsi, dan mengarahkan korban untuk menghubungi penyerang. Pesan biasanya berisi alamat email Protonmail, Eclipso, atau Tutanota.
Catatan tebusan biasanya disesuaikan, menyebutkan organisasi target dengan nama, dan memperingatkan agar tidak menghubungi pihak berwenang atau berbagi email kontak dengan pihak ketiga.
Dirancang untuk menargetkan perusahaan besar, malware biasanya menuntut pembayaran tebusan hingga $10 juta.
Serangan Profil Tinggi WastedLocker
Pada Juni 2020, Symantec menemukan 31 serangan WastedLocker terhadap perusahaan-perusahaan yang berbasis di AS. Sebagian besar organisasi yang ditargetkan adalah nama rumah tangga besar dan 11 adalah perusahaan Fortune 500.
Ransomware membidik perusahaan di berbagai sektor, termasuk manufaktur, teknologi informasi, dan media dan telekomunikasi.
Evil Corp melanggar jaringan perusahaan yang ditargetkan, tetapi Symantec berhasil mencegah para peretas menyebarkan WastedLocker dan menyimpan data untuk tebusan.
Jumlah total serangan yang sebenarnya mungkin jauh lebih tinggi karena ransomware disebarkan melalui lusinan situs berita yang populer dan sah.
Tak perlu dikatakan, perusahaan yang bernilai miliaran dolar memiliki perlindungan terbaik, yang berbicara banyak tentang betapa berbahayanya WastedLocker.
Pada musim panas yang sama, Evil Corp mengerahkan WastedLocker melawan GPS Amerika dan perusahaan pelacak kebugaran Garmin, yang diperkirakan memiliki pendapatan tahunan lebih dari $4 miliar.
Sebagai perusahaan keamanan siber Israel Votiro Tercatat pada saat itu, serangan tersebut melumpuhkan Garmin. Ini mengganggu banyak layanan perusahaan, dan bahkan berdampak pada call center dan beberapa jalur produksi di Asia.
Garmin dilaporkan membayar tebusan $ 10 juta untuk mendapatkan kembali akses ke sistemnya. Butuh waktu berhari-hari bagi perusahaan untuk menjalankan dan menjalankan layanannya, yang mungkin menyebabkan kerugian finansial besar-besaran.
Meskipun Garmin tampaknya berpikir membayar uang tebusan adalah cara terbaik dan paling efisien untuk mengatasi situasi ini, penting untuk diperhatikan bahwa seseorang tidak boleh mempercayai penjahat dunia maya—terkadang mereka tidak memiliki insentif untuk memberikan kunci dekripsi setelah menerima uang tebusan pembayaran.
Umumnya, tindakan terbaik jika terjadi serangan siber adalah segera menghubungi pihak berwenang.
Selain itu, pemerintah di seluruh dunia memberlakukan sanksi terhadap kelompok peretas, dan terkadang sanksi ini juga berlaku untuk individu yang mengajukan atau memfasilitasi pembayaran uang tebusan, sehingga ada juga risiko hukum untuk mempertimbangkan.
Apa itu Ransomware Varian Hades?
Pada bulan Desember 2020, peneliti keamanan melihat varian ransomware baru yang dijuluki Hades (tidak menjadi bingung dengan Hades Locker 2016, yang biasanya disebarkan melalui email dalam bentuk MS Word Lampiran).
Sebuah analisis dari CrowdStrike menemukan bahwa Hades pada dasarnya adalah varian terkompilasi 64-bit dari WastedLocker, tetapi mengidentifikasi beberapa perbedaan utama antara dua ancaman malware ini.
Misalnya, tidak seperti WastedLocker, Hades tidak meninggalkan catatan tebusan untuk setiap file yang dienkripsi—ia membuat satu catatan tebusan. Dan itu menyimpan informasi kunci dalam file terenkripsi, bukan menyimpannya dalam catatan tebusan.
Varian Hades tidak meninggalkan informasi kontak; itu malah mengarahkan korban ke situs Tor, yang disesuaikan untuk setiap target. Situs Tor memungkinkan korban untuk mendekripsi satu file secara gratis, yang jelas merupakan cara bagi Evil Corp untuk menunjukkan bahwa alat dekripsinya benar-benar berfungsi.
Hades terutama menargetkan organisasi besar yang berbasis di AS dengan pendapatan tahunan melebihi $1 miliar, dan penyebarannya menandai upaya kreatif lain oleh Evil Corp untuk mengubah citra dan menghindari sanksi.
Bagaimana Melindungi Terhadap WastedLocker
Dengan meningkatnya serangan siber, berinvestasilah di alat perlindungan ransomware adalah mutlak harus. Penting juga untuk selalu memperbarui perangkat lunak di semua perangkat untuk mencegah penjahat dunia maya mengeksploitasi kerentanan yang diketahui.
Varian ransomware canggih seperti WastedLocker dan Hades memiliki kemampuan untuk bergerak secara lateral, yang berarti mereka dapat memperoleh akses ke semua data di jaringan, termasuk penyimpanan cloud. Inilah sebabnya mengapa mempertahankan cadangan offline adalah cara terbaik untuk melindungi data penting dari penyusup.
Karena karyawan adalah penyebab paling umum pelanggaran, organisasi harus menginvestasikan waktu dan sumber daya dalam mendidik staf tentang praktik keamanan dasar.
Pada akhirnya, menerapkan model keamanan Zero Trust bisa dibilang cara terbaik untuk memastikan sebuah organisasi dilindungi dari serangan siber, termasuk yang dilakukan oleh Evil Corp dan peretas lain yang disponsori negara kelompok.
Ingin mengamankan bisnis Anda dari penjahat dunia maya? VPN memang bagus, tetapi mungkin tidak seefektif ZTN dengan Perimeter yang Ditentukan Perangkat Lunak.
Baca Selanjutnya
- Keamanan
- Ransomware
- Keamanan Daring
- Perangkat lunak perusak
- Keamanan data
Damir adalah seorang penulis lepas dan reporter yang fokus pekerjaannya pada keamanan siber. Di luar menulis, ia menikmati membaca, musik, dan film.
Berlangganan newsletter kami
Bergabunglah dengan buletin kami untuk kiat teknologi, ulasan, ebook gratis, dan penawaran eksklusif!
Klik di sini untuk berlangganan