JAKARTA, ditphat.net – Tim Tanggap Darurat Global Kaspersky telah mengidentifikasi jenis ransomware yang sebelumnya tidak terlihat dan digunakan secara aktif dalam serangan pencurian kredensial karyawan.
Dijuluki “Imir”, ransomware ini menggunakan metode enkripsi dan kebingungan yang canggih. Ransomware ini secara selektif menargetkan file dan mencoba menghindari deteksi. Imir ransomware memperkenalkan kombinasi unik antara fitur dan teknik teknis yang meningkatkan efektivitasnya.
Teknik manipulasi memori penyembunyian yang tidak biasa. Pelaku ancaman menggunakan gabungan fungsi manajemen memori yang tidak konvensional – malloc, memmove, dan memcmp – untuk mengeksekusi kode berbahaya langsung di memori.
Metode ini menyimpang dari alur eksekusi sistematis yang umum terjadi pada ransomware yang tersebar luas, sehingga menunjukkan kemampuan sembunyi-sembunyinya.
Selain itu, Imir fleksibel: dengan menggunakan perintah –path, penyerang dapat menentukan direktori untuk mencari file ransomware. Jika file masuk daftar putih, ransomware akan melewatinya dan membiarkannya tidak terenkripsi.
Fitur ini memberi penyerang kontrol lebih besar terhadap apa yang dienkripsi atau tidak. Menggunakan malware untuk mencuri data.
Dalam serangan yang dilakukan oleh pakar Kaspersky terhadap sebuah perusahaan di Kolombia, ditemukan bahwa penjahat dunia maya menggunakan Rusty Stealer, sejenis malware yang mencuri informasi dari karyawan untuk mendapatkan kredensial perusahaan.
Informasi ini kemudian digunakan untuk mendapatkan akses ke sistem organisasi dan mempertahankan kendali cukup lama agar ransomware dapat menyebar. Jenis serangan ini dikenal sebagai akses awal, di mana penyerang menyusup ke sistem dan mengontrol akses.
Broker akses awal biasanya menjual akses yang mereka dapatkan di web gelap kepada penjahat dunia maya lainnya, namun dalam kasus ini mereka meningkatkan serangan dengan menyebarkan ransomware.
“Jika perantara ini adalah pelaku yang sama yang menyebarkan ransomware, ini menandakan tren baru, menciptakan opsi pembajakan tambahan tanpa bergantung pada kelompok Ransomware-as-a-Service (RaaS) tradisional,” kata Christian Souza, spesialis respons insiden di Kaspersky.
Menurutnya, ransomware tersebut menggunakan ChaCha20, cipher streaming modern yang terkenal dengan kecepatan dan keamanannya, yang melebihi Advanced Encryption Standard (AES).
Meskipun pelaku ancaman di balik serangan tersebut belum secara terbuka membagikan data apa pun yang dicuri atau mengajukan tuntutan lebih lanjut, para peneliti terus memantau mereka untuk mengetahui adanya aktivitas baru.
“Kami belum melihat keluarga ransomware baru muncul di web gelap.” “Biasanya penyerang menggunakan forum atau portal bayangan untuk membocorkan informasi sebagai cara untuk menekan korban agar membayar uang tebusan, namun tidak demikian halnya dengan Imir,” jelasnya. .
Untuk menemukan nama bagi ancaman baru ini, para ahli Souza dan Kaspersky mengamati bulan Saturnus, Ymir. Ini adalah bulan “tidak beraturan” yang bergerak berlawanan arah dengan rotasi planet – sebuah properti yang menariknya mirip dengan perpaduan fitur manajemen memori yang tidak lazim yang digunakan dalam ransomware baru.