Generasi Baru Mafia Ransomware Indonesia

Jakarta - Ibarat mafia di dunia nyata, dimana jika satu pemimpin mafia besar berhasil ditangkap biasanya akan mengakibatkan guncangan pada organisasi tersebut. Namun hal ini tidak serta merta mematikan organisasi mafia yang dipimpinnya karena dalam waktu singkat biasanya muncul figur mafia lain yang menggantikan posisinya dan meneruskan bisnis mafia yang menggiurkan tersebut. Salah satu cara yang efektif membasmi mafia adalah menghilangkan motivasi pendirian organisasi mafia tersebut. Nah, fenomena serupa kurang lebih terlihat mirip di dunia ransomware. Dimana mundurnya Teslacrypt yang merupakan salah satu pemain besar dari percaturan ransomware pada bulan Mei 2016 sempat membuat guncangan dan menurunkan serangan ransomware secara signifikan pada bulan Juni 2016. Dimana pada bulan Mei 2016 terdeteksi 338 server ransomware yang aktif dan di bulan Juni mengalami penurunan sebanyak 74% menjadi hanya 89 server. Para penggiat sekuriti sejatinya sempat bergembira melihat perkembangan positif ini, namun keuntungan finansial besar yang memotivasi penyebaran ransomware ini segera menciptakan pemain baru. Dan celakanya, di bulan Juli 2016 terjadi peningkatan luar biasa dalam penyebaran ransomware dan server penyebar ranwomware yang terpantau mengalami peningkatan luar biasa. Bukan saja melampaui bulan Juni, server ransomware jenis baru yang aktif di bulan Juli bahkan menjadi bulan dengan server ransomware aktif tertinggi di tahun 2016 mengalahkan bulan Mei 2016 dengan server penyebar ransomware mencapai 778 server, yang terdiri dari server botnet, server pembayaran dan server distribusi. Sedangkan jenis ransomware yang menggantikan posisi Teslacrypt sekarang dipegang oleh Locky dan ditempel ketat oleh Cerber. Salah satu ransomware yang sedang mengganas di Indonesia dan disinyalir sangat dekat dengan Locky adalah Zepto Ransomware dimana file korbannya akan dienkrip dan mendapatkan akhiran .zepto. Penyebarannya saat ini terutama dari email dengan lampiran .zip dan file docm (MS Word Macro). Locky dan Cerber Dari total 778 server ransomware yang aktif di bulan Juli, Locky mendominasi dengan jumlah sebanyak 571 server (73 %), disusul oleh Cerber sebanyak 196 server (25%). Dibandingkan bulan Juni yang hanya memiliki 33 server penyebaran aktif, Locky mengalami peningkatan luar biasa. Bahkan melewati server aktif di bulan Mei sebanyak 312 server aktif, dimana seperti kita ketahui, bulan Mei 2016 sebelumnya merupakan bulan dengan penyebaran ransomware tertinggi di tahun 2016 dan pasti posisi tersebut diambil alih oleh bulan Juli 2016. Sedangkan Cerber yang memulai debutnya di bulan Juni dengan 41 server aktif, mengalami peningkatan signifikan menjadi 196 server atau lebih dari 470%. Suatu angka yang cukup fantastis untuk ransomware pemula. IP Indonesia Penyebar Ransomware Dari 778 server yang aktif menyebarkan ransomware, terdeteksi dua IP dari Indonesia. Sebagai catatan, penyebaran ransomware tidak tergantung IP lokal untuk menginfeksi komputer dan setiap komputer yang terkoneksi ke internet bisa terinfeksi ransomware sekalipun servernya tidak terletak di Indonesia. IP lokal yang terinfeksi juga tidak menunjukkan adanya korelasi antara pemilik IP dengan pembuat ransomware, bisa saja server tersebut memiliki celah keamanan dan berhasil dieksploitasi pembuat ransomware dan dijadikan sebagai server distribusi ransomware. Adapun dua IP lokal yang mendistribusikan ransomware adalah IP dari institusi pendidikan dan institusi pemerintah daerah Adapun kedua IP penyebar Locky tersebut adalah 175.45.184.* dan 49.50.8.* dimana salah satu IP tersebut masih mengandung kode yang terdeteksi oleh G Data sampai dengan saat artikel ini ditulis. Hati-hati dengan Email Berlampiran .zip dan Word Macro Dalam satu minggu pertama di bulan Agustus 2016, Vaksincom mendapatkan banyak laporan korban ransomware yang mengenkripsi data menjadi .zepto. Ransomware ini disinyalir memiliki hubungan dengan Locky karena banyak kode dan payload yang sangat mirip. Locky jika mengenkripsi akan memberikan akhiran .locky pada file yang telah di enkripsi. Kabar buruknya, saat ini masih belum ditemukan cara untuk mendekripsi file yang dienkripsi Zepto. Karena itu Vaksincom mengingatkan para pengguna komputer khususnya yang terhubung ke jaringan dan memiliki data yang di share atau administrator database dan NAS untuk selalu melakukan backup data secara teratur dan simpan secara terpisah dan tidak dihubungkan kembali ke jaringan karena banyak ransomware yang juga mengincar dan mengenkripsi data backup. Zepto akan datang dalam email mengandung lampiran terenkripsi baik dalam file JS yang dikompresi menjadi .zip *) Penulis, Alfons Tanujaya merupakan praktisi keamanan internet dari Vaksincom. (ash/ash) https://inet.detik.com/security/d-3270846/generasi-baru-mafia-ransomware-indonesia

Comments

Tidak Ada Comment


Post a Comment

Your comment was successfully posted!