Sebuah operasi ransomware-as-a-service (RaaS)
yang baru saja muncul bernama Eldorado hadir dengan varian pengunci
untuk mengenkripsi file pada sistem Windows dan Linux.
Eldorado pertama kali muncul pada 16 Maret 2024, ketika sebuah iklan untuk program afiliasi diposting di forum ransomware RAMP, menurut Group-IB yang bermarkas di Singapura.
Perusahaan keamanan siber, yang menyusup ke grup ransomware, mencatat bahwa perwakilannya adalah seorang penutur bahasa Rusia dan bahwa malware itu tidak tumpang tindih dengan jenis yang sebelumnya bocor seperti LockBit atau Babuk.
"Ransomware Eldorado menggunakan Golang untuk kemampuan lintas platform, menggunakan Chacha20 untuk enkripsi file dan Rivest Shamir Adleman-Optimal Asymmetric Encryption Padding (RSA-OAEP) untuk enkripsi kunci."
"Ranspmeware ini juga dapat mengenkripsi file pada jaringan bersama menggunakan protokol Server Message Block (SMB)."
Enkriptor untuk Eldorado hadir dalam empat format, yaitu esxi, esxi_64, win, dan win_64, dengan situs kebocoran datanya telah mencantumkan 16 korban pada bulan Juni 2024. Tiga belas dari target tersebut berlokasi di Amerika Serikat, dua di Italia, dan satu di Kroasia.
Perusahaan-perusahaan ini menjangkau berbagai industri vertikal seperti real estat, pendidikan, layanan profesional, perawatan kesehatan, dan manufaktur.
Analisis lebih lanjut terhadap artefak versi Windows telah mengungkapkan penggunaan perintah PowerShell untuk menimpa loker dengan byte acak sebelum menghapus file dalam upaya untuk membersihkan jejaknya.
Eldorado adalah yang terbaru dalam daftar pemain ransomware pemerasan ganda baru yang bermunculan belakangan ini. Termasuk Arcus Media, AzzaSec, dan0n, Limpopo (alias SOCOTRA, FORMOSA, SEXi), LukaLocker, Shinra, dan Space Bears, yang sekali lagi menyoroti sifat ancaman ini yang bertahan lama dan gigih.
LukaLocker, yang terkait dengan operator yang dijuluki Volcano Demon oleh Halcyon, terkenal karena fakta bahwa dia tidak menggunakan situs kebocoran data dan malah menghubungi korban melalui telepon untuk memeras dan menegosiasikan pembayaran setelah mengenkripsi workstation dan server Windows.
Perkembangannya bertepatan dengan ditemukannya varian Linux baru dari ransomware Mallox (alias Fargo, TargetCompany, dan Mawahelper) serta dekripsi yang terkait dengan tujuh versi yang berbeda.
Mallox diketahui disebarkan dengan cara memaksa server Microsoft SQL dan email phishing untuk menargetkan sistem Windows, dengan penyusupan baru-baru ini yang juga memanfaatkan loader berbasis .NET bernama PureCrypter.
"Para peretas menggunakan skrip python khusus untuk tujuan pengiriman muatan dan eksfiltrasi informasi korban. Malware ini mengenkripsi data pengguna dan menambahkan ekstensi .locked pada file yang dienkripsi."
Dekripsi juga telah tersedia untuk DoNex dan pendahulunya (Muse, LockBit 3.0 palsu, dan DarkRace) oleh Avast dengan memanfaatkan kelemahan pada skema kriptografi. Perusahaan keamanan siber asal Ceko itu mengatakan bahwa mereka telah "secara diam-diam menyediakan decryptor" kepada para korban sejak Maret 2024 dalam kemitraan dengan organisasi penegak hukum.
"Terlepas dari upaya penegakan hukum dan peningkatan langkah-langkah keamanan, kelompok ransomware terus beradaptasi dan berkembang," kata Group-IB.
Data yang dibagikan oleh Malwarebytes dan NCC Group berdasarkan korban yang terdaftar di situs-situs yang bocor menunjukkan bahwa 470 serangan ransomware tercatat pada Mei 2024, naik dari 356 serangan pada bulan April. Mayoritas serangan tersebut diklaim oleh LockBit, Play, Medusa, Akira, 8Base, Qilin, dan RansomHub.
"Pengembangan jenis ransomware baru yang sedang berlangsung dan munculnya program afiliasi yang canggih menunjukkan bahwa ancaman ini masih jauh dari selesai," kata Group-IB. "Organisasi harus tetap waspada dan proaktif dalam upaya keamanan siber mereka untuk mengurangi risiko yang ditimbulkan oleh ancaman yang terus berkembang ini."
Meskipun terlihat sangat menakutkan, namun sejauh ini sistem operasi Windows adalah sistem paling rentan. Dimana hampir semua sistem berbasis Linux termasuk macOS memiliki keamanan lebih baik. Terlebih lagi Linux yang setiap hari selalu mendapatkan pembaruan keamanan (tidak termasuk Android).
Waspada untuk segala hal adalah harga mati di era teknologi seperti sekarang ini, misalnya seperti selalu memastikan untuk menjaga privasi ketika perangkat terhubung dengan jaringan internet.
Hal lain yang mungkin bisa cukup membantu menjaga keamanan perangkat adalah dengan memastikan sistem selalu diperbarui ke versi terbaru, dan selalu mengaktifkan antivirus untuk melakukan scanning terhadap file yang mungkin mencurigakan.
Untuk pengguna Windows, bisa memanfaarkan Windows Security atau Windows Defender. Ini sudah sangat cukup untuk membantu menjaga keamanan data dan perangkat. Namun, jika merasa membutuhkan, ada beberapa antivirus tambahan yang bisa digunakan secara gratis seperti Avast dan Panda.
Sebuah catatan, jangan asal menambahkan program antivirus pada perangkat karena itu bisa menjadi sebuah bumerang. Jika tidak sesuai, bukan hanya sistem yang akan berjalan sangat lambat, namun itu juga bisa berbalik mengancam keamanan data dan perangkat.
Selebihnya, selalu waspadai apapun (terutama iklan yang tiba-tiba muncul dan menutupi layar) ketika sedang mengunjungi situs web. Umumnya, iklan seperti ini kebanyakan mengandung script berbahaya yang bahkan bisa menyebabkan kerusakan fatal pada sistem operasi.
Penulis : Slamet Bejo
Posting Komentar