Kali ini saya coba share presentasi dari Secureworks tentang Ransomware Tracking. Secureworks adalah perusahaan keamanan dari USA. Ransomware adalah suatu jenis malware yang mengenkrip data-data pada komputer korban, dan meminta uang tebusan (ransom). Bila korban tidak membayar uang ransom (tebusan) maka data-datanya tidak dibuka. Secureworks membuat klasifikasi 4 jenis penjahat cyber:
- Nation State (pemerintahan)
- Hacktivist (kelompok hacking yang memiliki motif politik/sosial)
- Cyber criminal dan
- Malicious Insider (orang dalam)
Menurut Secureworks, Ransomware dibuat oleh Cyber criminal. Motifnya adalah uang. Uang didapat melalui pembayaran uang tebusan atau menjual data-data korban. Ransomware umumnya menggunakan enkripsi dengan algoritma Asymmetric, dimana diperlukan 1 pasang kunci untuk dapat membuka (decrypt) data.
Beberapa tahapan infeksi Ransomware adalah:
- Initial attack vector – Penyebaran melalui social engineering
- Compromised – Malware dipasang dan dieksekusi pada komputer korban
- Targeting/Scoping – mencari file yang akan diencrypt
- Connection to C2 – konek ke server C2 (Command & Control). Mendaftarkan komputer korban, dan generate kunci
- Key Download – mengunduh kunci
- Encryption – melakukan enkripsi pada file korban
- Ransom message – menampilkan pesan permintaan uang tebusan
- Payment – pembayaran uang tebusan
- Financial Gain
Selanjutnya dibahas tentang penanganan Ransomware. Umumnya file yang telah dienkripsi oleh Ransomware, tidak dapat didekripsi tanpa kunci (key) yang sesuai. Secureworks menemukan penyebaran Ransomware melalui beberapa metode berikut:
- Email Spam
- Macro pada file MS Office
- Peretasan pada web, yang digunakan untuk menyebarkan ransomware
- Exploit Kit
Beberapa indikator yang menunjukan adanya ransomware pada komputer adalah:
- Adanya trafik data dengan alamat server C2 yang telah dikenali
- Adanya Outbound phoning packet ke server C2
- Adanya proses wscript.exe palsu
- Adanya perubahan wallpaper, dll
Untuk pencegahan, secureworks menyarankan untuk melakukan backup data. Sementara itu husus untuk kawasan Asia Pasifik, ditemukan adanya perbedaan dengan Ransomware di kawasan lainnya, diantaranya:
- kasus infeksi Ransomware tidak sebanyak di kawasan lainnya.
- Dalam proses infeksi, dibutuhkan interaksi user yang lebih banyak. Contohnya user harus menjalankan file tersebut, mengklik tautan tertentu dll
- Banyak ditemukan email spam dalam bahasa lokal (negara-negara di Asia Pasifik)
- Attachment email juga dibuat dalam bahasa lokal
- Adanya peretasan pada web lokal untuk penyebaran malware
- Ditemukan adanya exploit kit, dll
- Pesan permintaan tebusan juga dibuat dalam bahasa lokal
- Informasi tentang pembayaran juga dibuat dalam bahasa lokal.
- Penggunaan layanan pertukaran uang lokal
- File ekstensi target yang berbeda
Beberapa ransomware yang telah ditemukan menggunakan bahasa lokal (Jepang dan Korea) adalah:
- Cerber
- CryptXXX
- Troldesh (a.k.a. Shade or XTBL)
- Locky
- CryptoWall
- CryptoDefense
- CryptoLocker
- CTB-Locker
- TeslaCrypt
- TorrentLocker
- Locker v5.30
- AlphaCrypt
- UltraCrypter
- .777 ransomware
- SynoLocker
- BitCrypt
Untuk penanganan Ransomware ini Secureworks mengajak para peneliti keamanan maupun CSIRT untuk bekerjasama. Secureworks juga telah menyiapkan rules IDS untuk mendeteksi trafik malware dengan server C2.
Semoga Bermanfaat!