IT & Seluler

Serangan Ransomware Tertarget Terus Berlanjut

06-11-2018

Jakarta, beritasurabaya.net - Kelompok Ransomware masih sangat aktif pada 2018, fokus utamanya adalah menyerang institusi-institusi di Amerika Serikat. Oleh Security Response Attack Investigation Team.

Kelompok di balik serangan ransomware bernama SamSam (Ransom.SamSam) terus menggencarkan serangannya ke seluruh institusi yang ada di Amerika Serikat selama tahun 2018, dengan serangan-serangan baru yang terlihat menyasar 67 target yang berbeda, sebagian besar berada di AS.

SamSam yang spesialis dalam serangan ransomware tertaget, menyusup ke jaringan dan mengenkripsi banyak komputer di sebuah institusi sebelum mengajukan meminta tebusan dengan nilai yang tinggi. Kelompok ini diyakini berada di balik serangan Samsam di Kota Atlanta pada bulan Maret, yang menyebabkan banyak komputer di kota tersebut terenkripsi. Biaya yang dibutuhkan untuk membersihkan serangan tersebut diperkirakan mencapai lebih dari USD10 juta.

Kelompok ini juga terkait dengan serangan di Departemen Transportasi Colorado, yang menghabiskan biaya sebesar USD1,5 juta untuk membasmi serangan tersebut.

Selama tahun 2018 sampai kini, Symantec telah menemukan bukti serangan terhadap 67 institusi yang berbeda. SamSam menargetkan institusi di berbagai sektor, namun sejauh ini sektor kesehatan adalah yang paling terpengaruh dengan jumlah persentase serangan sebesar 24 persen dari total serangan yang terjadi pada 2018.

Tak jelas mengapa institusi kesehatan menjadi sasaran khusus. Para penyerang mungkin percaya bahwa institusi kesehatan lebih mudah diinfeksi. Atau mereka mungkin percaya bahwa institusi ini memiliki kemungkinan lebih besar untuk membayar tebusan.

Sejumlah institusi pemerintahan lokal di AS juga menjadi sasaran kelompok tersebut dan setidaknya salah satunya terlibat dalam penyelenggaraan pemilu. Seiring dengan penyelenggaraan midterm election di AS pada 6 November, fokusnya secara alamiah adalah pada operasi informasi cyber dan ancaman terhadap integritas data pemilihan. Namun, serangan ransomware seperti SamSam juga dapat secara signifikan mengganggu institusi-institusi pemerintah dan operasionalnya.

Kalau sebagian besar keluarga ransomware menyebar tanpa pandang bulu, biasanya melalui spam di email atau perangkat yang tereksploitasi, SamSam digunakan dengan cara menargetkan serangannya. Modus operandi kelompok SamSam adalah dengan mendapatkan akses ke jaringan institusi, melakukan pengintaian secara terus menerus dengan memetakan jaringan, sebelum mereka mengenkripsi sebanyak mungkin komputer dan memeras dengan mengajukan permintaan tebusan tunggal.

Para penyerang diketahui menawarkan untuk men-decrypt semua komputer untuk satu harga tebusan dan/atau menawarkan untuk melakukan decrypt pada komputer secara individual dengan biaya yang lebih murah. Dalam banyak kasus, permintaan uang tebusan dapat mencapai puluhan ribu dolar untuk men-decrypt semua komputer yang terkena serangan di sebuah institusi.

Jika serangan berhasil diluncurkan, serangan ini dapat berdampak buruk pada institusi korban, sebab serangan ini dapat mengganggu operasional mereka, menghilangkan informasi bisnis yang sangat penting, dan terpaksa mengeluarkan biaya yang sangat besar untuk pembersihan.

Para penyerang di balik SamSam berusaha keras untuk menginfeksi sebanyak mungkin komputer dalam sebuah institusi yang ditargetkan. Beberapa software digunakan untuk melakukan serangan dan, dalam banyak kasus, penyelesaian seluruh prosesnya dapat memakan waktu beberapa hari.

Untuk meluncurkan serangannya, kelompok SamSam menggunakan taktik yang dikenal dengan istilah "living off the land" secara ekstensif: yaitu penyerang menggunakan sistem operasi atau tool administrasi jaringan milik korban sendiri.

Taktik ini sering digunakan oleh kelompok mata-mata untuk diam-diam masuk ke jaringan target. Mereka membuat aktivitasnya tampak seperti proses yang sah, mereka berharap dapat bersembunyi walaupun sudah nampak di depan mata.

Misalnya, dalam satu serangan yang terjadi pada Februari 2018, lebih dari 48 jam berlalu sejak bukti pertama penerobosan didapatkan dan terjadinya enkripsi pada ratusan komputer di sebuah institusi yang diserang.

Tanda pertama penerobosan muncul ketika para penyerang mengunduh beberapa tool peretasan ke komputer di sebuah institusi yang dijadikan target. Sepuluh menit kemudian, para penyerang mulai menjalankan script untuk mengidentifikasi dan memindai komputer lain di jaringan institusi itu.

Mereka menggunakan PsInfo, sebuah tool dari Microsoft Sysinternals yang memungkinkan pengguna untuk mengumpulkan informasi tentang komputer lain di jaringan milik institusi. Hal ini memungkinkan mereka untuk mengidentifikasi software yang diinstal pada komputer-komputer ini.

PsInfo mungkin telah digunakan untuk mengidentifikasi sistem yang berisi file-file teramat penting yang kemudian dienkripsi untuk meminta tebusan. Para penyerang juga menggunakan tool peretasan gratisan Mimikatz (Hacktool.Mimikatz) yang digunakan untuk mencuri password di sejumlah komputer.

Setelah proses awal serangan ini, para penyerang kembali dua hari kemudian dan, tak lama setelah jam 5 pagi, mereka memasukkan ransomware SamSam ke komputer awal. Yang menarik, dua versi SamSam yang berbeda dimasukkan. Ada kemungkinan bahwa dua versi itu digunakan sebagai alternatif atau cadangan semisal ada satu versi yang terdeteksi oleh software keamanan. (nos)

Advertising
Advertising