Ransomware yang Membonceng dari Peretasan Besar China


Saat Microsoft mengungkapkan Awal bulan ini mata-mata China melakukan aksi hacking bersejarah, pengamat cukup khawatir bahwa penjahat lain akan segera menunggangi coattails kelompok itu. Faktanya, itu tidak butuh waktu lama: Jenis ransomware baru yang disebut DearCry menyerang server Exchange menggunakan kerentanan yang sama sedini mungkin. 9 Maret. Sementara DearCry pertama kali muncul, setelah diperiksa lebih dekat ternyata itu adalah bebek cybercrime yang aneh.

Bukannya DearCry itu unik dan canggih. Faktanya, dibandingkan dengan operasi licin yang merembes ke dunia ransomware saat ini, ini praktis kasar. Ini telanjang-tulang, untuk satu, menghindari server perintah-dan-kontrol dan penghitung waktu mundur otomatis yang mendukung interaksi manusia langsung. Ini tidak memiliki teknik kebingungan dasar yang akan mempersulit pembela jaringan untuk mengenali dan memblokir secara preemptif. Ini juga mengenkripsi jenis file tertentu yang mempersulit korban untuk mengoperasikan komputer mereka sama sekali, bahkan untuk membayar uang tebusan.

“Biasanya penyerang ransomware tidak akan mengenkripsi file yang dapat dieksekusi atau file DLL, karena itu lebih jauh menghalangi korban untuk menggunakan komputer, selain tidak dapat mengakses data,” kata Mark Loman, direktur teknik untuk teknologi generasi berikutnya di perusahaan keamanan Sophos . “Penyerang mungkin ingin mengizinkan korban menggunakan komputer untuk mentransfer bitcoin.”

Masalah lainnya: DearCry berbagi atribut tertentu dengan WannaCry, worm ransomware terkenal yang menyebar di luar kendali pada tahun 2017 hingga peneliti keamanan Marcus Hutchins menemukan “tombol pemutus” yang mensterilkannya dalam sekejap. Ada namanya, salah satunya. Meskipun bukan worm, DearCry berbagi aspek perilaku tertentu dengan WannaCry. Keduanya membuat salinan file yang ditargetkan sebelum menimpanya dengan omong kosong. Dan header yang ditambahkan DearCry ke file yang disusupi mencerminkan WannaCry dengan cara tertentu.

Kesejajarannya memang ada, tetapi kemungkinan besar tidak terlalu berharga untuk dibaca. “Tidak jarang pengembang ransomware menggunakan potongan ransomware lain yang lebih terkenal dalam kodenya sendiri,” kata Brett Callow, analis ancaman di perusahaan antivirus Emsisoft.

Apa yang tidak biasa, kata Callow, adalah bahwa DearCry tampaknya telah memulai dengan cepat sebelum gagal, dan bahwa pemain yang lebih besar di ruang ransomware tampaknya belum melompat pada kerentanan server Exchange itu sendiri.

Pasti ada keterputusan saat bermain. Para peretas di belakang DearCry bekerja sangat cepat dalam merekayasa balik eksploitasi peretasan China, tetapi mereka tampaknya tidak terlalu mahir dalam membuat ransomware. Penjelasannya mungkin hanya tentang rangkaian keterampilan yang dapat diterapkan. “Pengembangan dan persenjataan eksploitasi adalah keahlian yang sangat berbeda dari pengembangan malware,” kata Jeremy Kennelly, manajer senior analisis di Mandiant Threat Intelligence. “Mungkin saja para aktor yang dengan sangat cepat mempersenjatai eksploitasi itu tidak terhubung ke ekosistem kejahatan dunia maya dengan cara yang sama seperti yang dilakukan beberapa orang lainnya. Mereka mungkin tidak memiliki akses ke salah satu program afiliasi besar ini, kelompok ransomware yang lebih tangguh ini. ”

Anggap saja sebagai perbedaan antara master grill dan chef pastry. Keduanya mencari nafkah di dapur, tetapi mereka memiliki keterampilan yang sangat berbeda. Jika Anda terbiasa steak tetapi sangat ingin membuat petit four, kemungkinan besar Anda akan menemukan sesuatu yang bisa dimakan tetapi tidak terlalu elegan.

Mengenai kekurangan DearCry, Loman berkata, “Itu membuat kami percaya bahwa ancaman ini sebenarnya dibuat oleh seorang pemula atau ini adalah prototipe dari jenis ransomware baru.”

Yang tidak berarti itu tidak berbahaya. “Algoritme enkripsi tampaknya bagus, tampaknya berfungsi,” kata Kennelly, yang telah memeriksa kode perangkat lunak perusak tetapi tidak menangani infeksi secara langsung. “Hanya itu yang perlu dilakukan.”


Diposting oleh : SGP Prize