Ransomware Ini Bisa Meniru Identitas Karyawan dan Menyebarnya

Suara.com - Ransomware LockBit masih ada: Dalang kebocoran data pada2022 ini tetap menjadi ancaman.

Baru-baru ini, tim Kaspersky Global Emergency Response menyoroti serangan yang dilakukan penyerang dengan membuat varian malware enkripsi mereka sendiri yang dilengkapi dengan kemampuan propagasi mandiri.

Dengan memanfaatkan kredensial administrator istimewa yang dicuri, para penjahat siber menerobos infrastruktur.

Baca Juga: Kabar Kena Serangan Siber, PT KAI Gelar Investigasi

Baca Juga: Varian Backdoor DinodasRAT Baru Menincar Linux

Insiden ini terjadi di Afrika Barat, namun wilayah lain juga mengalami serangan ransomware builder-based, meskipun fitur-fitur canggih yang ada dalam kasus ini tidak ada.

Insiden terbaru terjadi di Guinea-Bissau dan mengungkapkan bahwa ransomware khusus menggunakan teknik yang tidak terlihat.

Hal ini dapat menciptakan efek longsor yang tidak terkendali, dimana host yang terinfeksi berusaha menyebarkan malware lebih jauh ke dalam jaringan korban.

Setelah kejadian baru-baru ini, Kaspersky memberikan analisis mendetail.

1. Peniruan

Baca Juga: Survei: Roblox Jadi Target Utama Penjahat Siber Curi Uang

Dengan memanfaatkan kredensial yang diperoleh secara tidak sah, pelaku ancaman menyamar sebagai administrator sistem dengan hak istimewa.

Skenario ini sangat penting, karena akun dengan hak istimewa memberikan peluang luas untuk melakukan serangan dan mendapatkan akses ke area paling penting dari infrastruktur perusahaan.

2. Penyebaran Mandiri

Ransomware yang disesuaikan juga dapat menyebar secara mandiri ke seluruh jaringan menggunakan kredensial domain dengan hak istimewa tinggi.

Baca Juga: Ancaman Siber Meningkat, Kolaborasi ViBiCloud, Cyfirma, dan Nextgen Bikin Benteng Tangguh

Selain itu, melakukan aktivitas berbahaya, seperti menonaktifkan Windows Defender, mengenkripsi berbagi jaringan, dan menghapus Windows Event Logs untuk mengenkripsi data hingga menyembunyikan tindakannya.

Perilaku malware menghasilkan skenario di mana setiap host yang terinfeksi berupaya menginfeksi host lain dalam jaringan.

3. Fitur adaptif

File konfigurasi yang disesuaikan, bersama dengan fitur-fitur yang disebutkan di atas, memungkinkan malware menyesuaikan dirinya dengan konfigurasi spesifik arsitektur perusahaan yang menjadi korban.

Misalnya, penyerang dapat mengonfigurasi ransomware untuk hanya menginfeksi file tertentu, seperti semua file .xlsx dan .docx, atau hanya sekumpulan sistem tertentu.

Saat menjalankan build kustom ini di mesin virtual, Kaspersky mengamatinya melakukan aktivitas berbahaya dan menghasilkan catatan ransom khusus atau custom ransom note di desktop.

Dalam skenario nyata, catatan ini mencakup rincian tentang bagaimana korban harus menghubungi penyerang untuk mendapatkan dekripsi.

“Pembuat LockBit 3.0 bocor pada tahun 2022, tetapi penyerang masih aktif menggunakannya untuk membuat versi yang disesuaikan," kata kata Cristian Souza, Incident Response Specialist di Kaspersky Global Emergency Response Team.

Bahkan, dia menambahkan, tidak memerlukan keterampilan pemrograman tingkat lanjut.

Menurutnya, fleksibilitas ini memberikan banyak peluang bagi musuh untuk meningkatkan efektivitas serangan mereka, seperti yang ditunjukkan dalam kasus baru-baru ini.

"Hal ini membuat serangan menjadi lebih berbahaya, mengingat meningkatnya frekuensi kebocoran kredensial perusahaan," pungkasnya dalam keterangan resminya, Jumat (19/4/2024),