Ransomware Baru Gunakan Trojan Perbankan Untuk Menyerang Pemerintah dan Perusahaan

2020-05-20

Ransomware jenis baru telah muncul dalam beberapa bulan terakhir, mengibarkan bendera merah di antara komunitas cybersecurity dan otoritas seperti FBI di Amerika Serikat.

Perusahaan Cybersecurity, Group-IB, telah memperingatkan bahwa itu datang dalam bentuk Trojan, menurut sebuah laporan yang diterbitkan pada 17 Mei.

Menurut Group-IB, ransomware ini dikenal sebagai ProLock dan bergantung pada trojan Qakbot perbankan untuk meluncurkan serangan itu dan meminta target untuk enam angka uang tebusan USD dibayarkan di BTC untuk mendekripsi file.

Daftar korban termasuk pemerintah daerah, organisasi keuangan, kesehatan dan ritel. Di antara mereka, serangan yang dianggap paling menonjol oleh Grup-IB adalah terhadap penyedia ATM Diebold Nixdorf.

Serangan Ransomware Meminta Bayaran dalam BTC

FBI merinci bahwa serangan ProLock awalnya mendapatkan akses ke jaringan korban melalui email phishing yang sering mengirimkan dokumen Microsoft Word.

Qakbot kemudian mengganggu mengkonfigurasi protokol desktop jarak jauh dan mencuri kredensial login untuk sistem dengan otentikasi faktor tunggal.

Menurut Group-IB, serangan ransomware meminta pembayaran total 35 BTC – senilai $ 337.750 pada saat pers.

Namun, studi Bleeping Computer menunjukkan bahwa ProLock menuntut rata-rata $ 175.000 hingga $ 660.000 per serangan, tergantung pada ukuran jaringan yang ditargetkan.

Berbicara dengan Cointelegraph, Brett Callow, analis ancaman di lab malware Emsisoft, menjelaskan beberapa detail tentang ancaman cyber baru ini:

“ProLock tidak biasa karena ditulis dalam perakitan dan digunakan menggunakan Powershell dan shellcode. Kode berbahaya disimpan dalam file XML, video, atau gambar.
Khususnya, dekripsi ProLock yang disediakan oleh penjahat tidak bekerja dengan benar dan data yang rusak selama proses dekripsi.”

Callow menambahkan bahwa meskipun Emsisoft mengembangkan dekripsi untuk memulihkan data korban yang terkena dampak ProLock tanpa kehilangan, peranti lunak tersebut tidak menghilangkan kebutuhan tebusan yang harus dibayar karena bergantung pada kunci yang disediakan oleh para penjahat.

ProLock Tidak Membocorkan Data yang Dicuri

Meskipun teknik yang digunakan oleh operator ProLock serupa dengan yang dimiliki kelompok ransomware yang dikenal yang menyaring data curian seperti Sodinokibi dan Labirin, Group-IB mengklarifikasi berikut ini:

“Tidak seperti rekan-rekan mereka, operator ProLock masih tidak memiliki situs web di mana mereka menerbitkan data exfiltrated dari perusahaan yang menolak untuk membayar uang tebusan.”

Sumber: Cointelegraph