Blog ini merupakan hasil terjemahan dan pengembangan dari blog Fortinet terkait dengan perkembangan ransomware dalam dunia internet. Tim qFirewall membantu pembaca untuk menambahkan wawasan singkat mengenai lanskap ransomware yang semakin berkembang dan nantinya mampu melakukan perlindungan.

Pembahasan ini mencakup ransomware snatch, BianLian dan Agenda yang biasanya secara keseluruhan ditulis dalam bahasa pemrograman Go atau Golang

 

Platform yang terpengaruh : Microsoft Windows

Pihak yang Terdampaak : Pengguna Microsoft Windows

Dampak : Mengenkripsi file pada device yang sudah disisipi dan akan meminta tebusan untuk dekripsi file

Tingkat Keparahan : Tinggi

 

Snatch Ransomware

Mengacu pada situs Fortinet dinyatakan bahwa FortiGuard Labs baru-baru ini menemukan varian baru dari snatch ransomware yang sudah aktif semenjak tahun 2018. Grup dari ransomware snatch membuat berita menjelang akhir tahun 2021 terkait dengan situs kebocoran data produsen mobil dan mencuri informasi yang berkaitan dengan data pengguna dan pembeli.

Snatch ransomware merupakan salah satu pengadopsi awal bahasa pemrograman Go karena ransomware yang ditulis dalam Go jauh lebih jarang dibandingkan dengan ransomware lainnya.

Snatch Ransomware adalah file encryptor yang mulai dikenal karena menggunakan file “.snake” yang ditambahkan ke file enkripsi. Nama file catatan tebusan juga berbeda dari varian ke varian.

Vektor infeksi dari Snatch Ransomware yang sudah terlapor yakni Remote Desktop Protocol credential brute forcing. Microsoft mengaktifkan kebijakan penguncian akun secara default yang dimulai dari windows 11 dan akan mengunci akun user saat melakukan upaya masuk namun gagal.

Varian ransomware Snatch terbaru mengenkripsi file di mesin korban dan menambahkan ekstensi “.gaqtfpr” ke file yang terpengaruh. Hal ini akan menampilkan “cara mengembalikan files data Anda.txt”

 

BianLian Ransomware

BianLian adalah ransomware yang baru-baru ini mulai menambahkan korban ke situs kebocoran datanya di Tor. Pada tulisan ini, kelompok ransomware telah mengorbankan setidaknya 20 perusahaan sejak Juni 2022.

Setiap korban BianLian ditandai untuk negara mereka dan industri tempat mereka berada. Menurut tag yang tersedia, korban ransomware setidaknya ada di AS, Inggris, dan Australia. Sektor industri yang ditargetkan meliputi kesehatan, pendidikan, firma hukum, konstruksi, media, farmasi, pemasaran, resor, dan keuangan.

Informasi yang tercantum di halaman-halaman itu termasuk deskripsi perusahaan korban, nama CEO atau presiden perusahaan, pendapatan pribadi mereka, pendapatan, aset, dan pendapatan perusahaan-perusahaan itu, dan informasi apa yang ada dalam dokumen yang bocor.

Pelaku ancaman juga memperingatkan para korban bahwa mereka memiliki waktu sepuluh hari untuk membayar uang tebusan. Jika tidak, informasi yang dicuri akan diposting di situs Tor grup ransomware.

ntuk memberi tekanan tambahan pada korban, penyerang mengklaim bahwa tautan ke informasi yang dicuri akan dikirim ke pelanggan dan rekan bisnis korban untuk merusak reputasi korban. Korban diinstruksikan untuk menghubungi pelaku ancaman menggunakan Tox atau, sebagai alternatif, melalui email. Karena biaya tebusan dan metode pembayaran tidak ada dalam catatan tebusan, maka akan dibahas dalam negosiasi dengan pelaku ancaman.

File yang dienkripsi oleh BianLian ransomware memiliki eksistens file “.bianlian”

 

Agenda Ransomware

Agenda ransomware muncul pada pertengahan Juni 2022. Berdasarkan sampel yang relevan dan lokasi pengiriman mereka yang dilaporkan oleh VirusTotal, ransomware berpotensi menginfeksi target di Afrika Selatan, Rumania, Lithuania, India, Thailand, AS, Kanada, dan Indonesia.

Vektor infeksi yang dilaporkan dari Agenda ransomware adalah melalui masuk ke server yang menghadap publik menggunakan kredensial yang dicuri. Penyerang kemudian menyebar melalui jaringan korban untuk mengkompromikan mesin tambahan. Agenda ransomware dikerahkan ke mesin yang disusupi setelah penyerang mendapatkan akses ke sejumlah besar perangkat di jaringan.

Dalam upaya untuk menghindari deteksi oleh solusi AV, ransomware mengenkripsi file dalam mode aman. Teknik ini telah digunakan oleh beberapa ransomware terkenal lainnya, seperti REvil, BlackMatter, dan AvosLocker.

Ekstensi file yang ditambahkan ke file terenkripsi bervariasi dari varian ke varian. Misalnya, jika varian ransomware menggunakan “.fortinet” sebagai ekstensi file, “blog.docx” akan diubah menjadi “blog.fortinet”. Nama catatan tebusan dimulai dengan ekstensi file yang ditambahkan ke file yang terpengaruh, diikuti oleh “-RECOVER-README.txt”.

 

Bagaimana qFirewall Dapat Membantu?

qFirewall dapat membantu Anda menggunakan Firewall ternama yang sudah dilengkapi dengan web filtering, antivirus dan juga menyediakan jasa SOC 24/7.

SOC 24/7 dari qFirewall Indonesia akan menghindari Anda dari serangan ransomware. Tim SOC qFirewall akan membantu Anda dalam proses monitoring, deteksi varian ransomware dan memberikan report untuk melakukan upgrade ataupun perbaikan jika terdapat hal-hal yang dapat mengancam data Anda.

Anda dapat menggunakan layanan subscribe bulanan atau Hubungi sales@qfirewall untuk informasi lebih lanjut