Teknologi.info – Setelah kebocoran pada tahun 2022, kini muncul varian baru yang lebih mengkhawatirkan. Baru-baru ini, tim Tanggap Darurat Global Kaspersky menyoroti serangan yang dilakukan oleh para penyerang dengan membangun malware enkripsi mereka sendiri yang mampu menyebar secara otomatis. Dengan memanfaatkan kredensial administrator yang dicuri, para pelaku berhasil menembus infrastruktur. Meskipun insiden ini terjadi di Afrika Barat, kasus serupa juga dilaporkan di wilayah lain, meski tanpa fitur-fitur canggih yang ditemukan dalam kasus ini.
Insiden terbaru di Guinea-Bissau mengungkapkan bahwa ransomware yang khusus dibuat menggunakan teknik yang sangat canggih. Hal ini dapat menyebabkan penyebaran yang tidak terkendali di seluruh jaringan korban. Setelah insiden ini, Kaspersky menyediakan analisis mendetail tentang kejadian tersebut.
Peniruan identitas menjadi kunci. Dengan menggunakan kredensial yang diperoleh secara tidak sah, para penyerang menyamar sebagai administrator sistem dengan hak istimewa. Situasi ini sangat krusial karena akun dengan hak istimewa memberikan akses luas untuk melakukan serangan dan merambah ke area krusial dalam infrastruktur perusahaan.
Penyebaran Mandiri. Ransomware yang disesuaikan juga dapat menyebar secara mandiri ke seluruh jaringan menggunakan kredensial domain dengan hak istimewa tinggi. Kemudian, mereka menjalankan aktivitas berbahaya seperti menonaktifkan Windows Defender, mengenkripsi berbagi jaringan, dan menghapus Windows Event Logs untuk menyembunyikan jejak.
Perilaku malware ini menciptakan skenario di mana setiap host yang terinfeksi berusaha untuk menginfeksi host lain di dalam jaringan.
Fitur adaptif. File konfigurasi yang disesuaikan, bersama dengan fitur-fitur yang disebutkan di atas, memungkinkan malware menyesuaikan dirinya dengan konfigurasi spesifik arsitektur perusahaan yang menjadi korban. Penyerang dapat mengatur ransomware untuk menginfeksi file tertentu atau sistem tertentu sesuai kebutuhan.
“Meskipun pembuat LockBit 3.0 terbocor pada tahun 2022, penyerang masih aktif menggunakannya untuk membuat versi yang disesuaikan – dan bahkan tidak memerlukan keterampilan pemrograman tingkat lanjut. Fleksibilitas ini memberikan banyak peluang bagi musuh untuk meningkatkan efektivitas serangan mereka, seperti yang ditunjukkan dalam kasus baru-baru ini. Hal ini membuat serangan menjadi lebih berbahaya, mengingat meningkatnya frekuensi kebocoran kredensial perusahaan.”
– Cristian Souza, Spesialis Tanggap Darurat Insiden di Tim Tanggap Darurat Global Kaspersky
Kaspersky juga menemukan bahwa penyerang menggunakan skrip SessionGopher untuk menemukan dan mengekstrak kata sandi yang disimpan untuk koneksi jarak jauh di sistem yang terpengaruh.
Insiden yang melibatkan berbagai jenis teknik berdasarkan pembuat LockBit 3.0 yang bocor, tetapi tanpa kemampuan propagasi mandiri dan peniruan identitas seperti yang ditemukan di Guinea-Bissau, sering terjadi di berbagai industri dan wilayah. Serangan serupa terjadi di Rusia, Chili, dan Italia, dan geografi serangannya mungkin semakin meluas.
Kaspersky merekomendasikan langkah-langkah umum berikut untuk memitigasi serangan ransomware:
- Terapkan jadwal pencadangan yang sering dan lakukan pengujian rutin.
- Jika Anda menjadi korban ransomware dan belum ada dekripsi yang diketahui, simpan file terenkripsi penting Anda.
- Menerapkan solusi keamanan yang kuat seperti Kaspersky Endpoint Security, dan pertimbangkan layanan Deteksi dan Respons Terkelola (MDR) untuk perburuan ancaman secara proaktif.
- Kurangi permukaan serangan Anda dengan menonaktifkan layanan dan port yang tidak digunakan.
- Selalu update sistem dan perangkat lunak Anda untuk menambal kerentanan.
- Berikan pelatihan keamanan siber secara berkala kepada karyawan untuk meningkatkan kesadaran akan ancaman siber dan strategi mitigasinya.
Baru-baru ini, pihak berwenang berhasil melumpuhkan kelompok ransomware LockBit. Selama operasi, penegak hukum berhasil memperoleh kunci dekripsi pribadi dan menyediakan alat untuk mendekripsi file berdasarkan ID yang diketahui. Alat-alat ini, seperti check_decryption_id.exe dan check_decrypt.exe, membantu menilai apakah file dapat dipulihkan.
