Jakarta, Titik Kumpul – Tim tanggap darurat global Kaspersky telah menemukan jenis ransomware aktif dan belum pernah terjadi sebelumnya yang digunakan dalam serangan pencurian kredensial karyawan.
Ransomware yang dijuluki “Imir” menggunakan teknik enkripsi dan privasi tingkat lanjut. Ransomware ini secara selektif menargetkan file dan berupaya menghindari deteksi. Ymir ransomware memperkenalkan kombinasi unik antara fitur teknis dan taktik yang meningkatkan efektivitasnya.
Metode manipulasi memori yang tidak biasa untuk tujuan berpakaian. Penyerang menggunakan fungsi manajemen memori non-tradisional seperti malloc, memmove, dan memcmp untuk mengeksekusi kode berbahaya langsung di memori.
Pendekatan ini berbeda dari aliran eksekusi sistemik dari jenis ransomware yang tersebar luas, sehingga menunjukkan bahwa ransomware tersebut tidak terlihat.
Selain itu, Imir fleksibel: dengan menggunakan perintah –path, penyerang dapat menentukan direktori untuk mencari file ransomware. Jika file tersebut masuk daftar putih, ransomware akan melewatinya dan membiarkannya tidak terenkripsi.
Fitur ini memberi penyerang kontrol lebih besar terhadap apa yang dienkripsi atau tidak. Gunakan malware untuk mencuri data.
Dalam serangan yang diamati oleh para ahli Kaspersky di sebuah organisasi di Kolombia, penjahat dunia maya menggunakan RustyStealer, sebuah malware yang mencuri informasi dari karyawan untuk mendapatkan kredensial perusahaan.
Informasi ini kemudian digunakan untuk mendapatkan akses ke sistem organisasi dan memantaunya cukup lama hingga ransomware menyebar. Jenis serangan ini disebut broker akses awal, dimana penyerang mendapatkan akses ke sistem dan mempertahankan akses.
Biasanya, broker akses awal menjual akses yang mereka dapatkan di web gelap kepada penjahat dunia maya lainnya, namun dalam kasus ini, mereka tampaknya sendiri yang mencegah serangan tersebut dengan menyebarkan ransomware.
“Jika memang perantaralah yang mendistribusikan ransomware, hal ini akan menciptakan opsi pencurian tambahan tanpa bergantung pada kelompok ransomware-as-a-service (RaaS) tradisional dan menunjukkan tren baru,” kata Christian Souza, pakar respons insiden di Kaspersky .
Menurutnya, ransomware tersebut menggunakan ChaCha20, stream cipher modern yang terkenal dengan kecepatan dan keamanannya, bahkan melampaui Advanced Encryption Standard (AES).
Pelaku ancaman di balik serangan tersebut belum mengungkapkan secara terbuka data yang dicuri atau mengajukan tuntutan lebih lanjut, namun para peneliti terus mencermati setiap aktivitas baru.
“Kami belum melihat keluarga ransomware baru muncul di web gelap. Biasanya, penyerang menggunakan forum atau portal bayangan untuk memeras informasi guna memeras korbannya, namun tidak demikian halnya dengan Imir,” jelasnya.
Untuk menemukan nama bagi ancaman baru ini, para ahli Souza dan Kaspersky mengamati bulan Saturnus, Ymir. Ini adalah bulan “tidak beraturan” yang bergerak berlawanan arah dengan rotasi planet, mirip dengan perpaduan fitur manajemen memori yang tidak konvensional yang digunakan dalam ransomware baru.