IT & Seluler

Waspada, Ada BadRabbit Ancaman Baru Ransomware

08-11-2017

Ransomware baru yang disebut BadRabbit (Ransom.BadRabbit) mulai menyebar sejak Selasa (24/10/2017), dengan sebagian besar upaya serangan terlihat di Rusia. Namun, karena BadRabbit ini bisa memperbanyak diri sendiri dan dapat menyebar ke seluruh jaringan perusahaan, maka organisasi harus tetap waspada.

Bagi pelanggan Symantec, dijamin terlindungi dari serangan BadRabbit. Cara penyebaran BadRabbit ini berawal dari pengunduhan yang tidak disadari pada situs web yang sudah tersusupi.

Malware tersebut menyamar sebagai update palsu Adobe Flash Player. Pengunduhan berasal dari domain bernama 1dnscontrol[dot]com, meskipun para pengunjung mungkin diarahkan ke situs web lain yang juga berbahaya.

Setelah terinstal di komputer korban, BadRabbit mencoba menyebarkan diri di jaringan mereka melalui SMB (Server Message Block). Untuk mendapatkan kredensial yang diperlukan, BadRabbit dilengkapi dengan versi Mimikatz (Hacktool.Mimikatz), tool perentasan yang mampu mengubah privilege dan menemukan kata kunci Windows dalam bentuk plaintext. Malware ini juga menggunakan daftar hardcoded dari kredensial default yang umum digunakan untuk mencoba menebak kata kunci.

Symantec tidak menemukan bukti bahwa BadRabbit mengeksploitasi kerentanan untuk memperbanyak diri. BadRabbit pertama kali mulai menyebar sekitar pukul 10 pagi UTC tanggal 24 Oktober. Telemetri Symantec menunjukkan bahwa sebagian besar upaya infeksi terjadi di Rusia dalam dua jam setelah serangan pertama kali muncul.

Jumlah kecil upaya infeksi terjadi di beberapa negara lain. CERT-UA, Ukrainian Computer Emergency Response Team, mengatakan telah terjadi “distribusi besar-besaran” BadRabbit di Ukraina. Sebelumnya,  buletin dari agensi tersebut menyebutkan bahwa bandara Odessa dan kereta bawah tanah Kiev mendapatkan serangan siber, namun tidak disebutkan keterlibatan BadRabbit dalam serangan tersebut.

BadRabbit memiliki banyak kesamaan dengan serangan Petya (Ransom.Petya)  yang terjadi pada bulan Juni 2017 lalu. Kedua jenis malware ini menggunakan gaya serangan yang meminta tebusan dan menggunakan mekanisme penyebaran sendiri. Kedua ancaman tersebut juga mengandung komponen yang menargetkan master boot record (MBR) komputer yang terinfeksi, menimpa MBR yang sudah ada.

Perbedaannya adalah, pertama, Petya menggunakan eksploitasi EternalBlue untuk menyebar, selain menggunakan teknik penyebaran jaringan SMB klasik. BadRabbit tidak menggunakan EternalBlue dan hanya menggunakan teknik yang terakhir. Kedua, Petya secara teknis merupakan wiper dibanding ransomware, karena tidak ada cara untuk memperoleh kunci dekripsi.

”Analisa kami terhadap BadRabbit masih berlangsung namun kami belum menemukan bukti yang menunjukkan bahwa BadRabbit bergerak seperti wiper,”kata analis Symantec.

Salah satu aspek yang paling menonjol dari BadRabbit adalah penggunaan setidaknya tiga tool open-source pihak ketiga. Selain dari Mimikatz, BadRabbit juga menggunakan tool enkripsi open source DiskCryptor untuk melakukan enkripsi. Mereka juga menggunakan driver dari ReactOS, sebuah open-source alternatif untuk Windows, sehingga mengurangi jumlah aktivitas mencurigakan yang terdeteksi pada komputer yang terinfeksi.

Tidak seperti kebanyakan infeksi serangan ransomware lainnya, file yang dienkripsi tidak diberi ekstensi khusus. Sebagai gantinya, untuk memeriksa apakah sudah diproses, ransomware ini menambahkan tanda khusus di akhir file terenkripsi, deretan “terenkripsi” unicode.

Setelah file korban terenkripsi, BadRabbit kemudian akan melakukan enkripsi disk penuh. Setelah sistem di-restart, catatan tebusan ditampilkan, menagih tebusan sebesar 0,05 Bitcoin (sekitar USD280).

Waspadalah, Bersiaplah

Khususnya perusahaan rentan terhadap ancaman seperti BadRabbit karena mekanisme infeksi yang mereka gunakan. Ketika satu komputer dalam jaringan terinfeksi, BadRabbit akan mencoba untuk menggandakan dirinya ke komputer lain di jaringan yang sama, yang berpotensi merusak jaringan yang tingkat keamanannya rendah.

Meskipun tampaknya ancaman tersebut sebagian besar terjadi di Rusia saja untuk saat ini, namun perusahaan lain harus tetap waspada terhadap bahaya dari ancamannya tersebut dan memastikan bahwa mereka terlindungi.

Apa saja rincian perlindungan dari Symantec?

Symantec memiliki beberapa perlindungan berikut ini untuk melindungi para pelanggan dari serangan BadRabbit. Antivirus yakni Ransom.BadRabbit; Ransom.BadRabbit!g1; Ransom.BadRabbit!g2. Teknologi deteksi perilaku SONAR yakni SONAR.Cryptlocker!g80; Pembelajaran Mesin Canggih, Heur.AdvML.A.

Symantec mempunyai produk perlindungan jaringan yakni Malware Analysis Appliance mendeteksi aktivitas yang berhubungan dengan BadRabbit. Para pelanggan dengan produk berbasis Webpulse terlindungi dari aktivitas yang berhubungan dengan BadRabbit.

Symantec juga mempunyai produk keamanan pusat data yakni Anti-malware Data Center Security Server melindungi pelanggan dan Data Center Security Server Advanced melindungi pengunduhan berbahaya dan Mimikatz. (nos)

Teks foto :

Upaya infeksi BadRabbit, komputer perusahaan vs komputer pelanggan.

Foto : Istimewa.

Advertising
Advertising