Para peneliti keamanan siber mengatakan
bahwa versi baru dari jenis ransomware yang bernama HardBit terlahir dengan
teknik penyamaran baru untuk menghalangi upaya analisis dan deteksi sistem
keamanan komputer.
Berbeda dengan versi sebelumnya, kelompok HardBit Ransomware menyempurnakan versi 4.0 dengan perlindungan kata sandi, yang mampu memanipulasi aktivitas analisa suatu sistem keamanan.
Proses kerjanya adalah kata sandi harus diberikan selama proses runtime agar ransomware dapat dieksekusi dengan benar. Sehingga menjadi manipulasi tambahan untuk menghalangi para peneliti keamanan untuk menganalisis malware.
“HardBit, yang pertama kali muncul pada Oktober 2022, adalah aktor ancaman bermotif finansial yang, mirip dengan kelompok ransomware lainnya, beroperasi dengan tujuan untuk menghasilkan pendapatan ilegal melalui taktik pemerasan ganda.”
Apa yang membuat kelompok ancaman ini menonjol adalah bahwa mereka tidak mengoperasikan situs yang membocorkan data, namun sebaliknya menekan korban untuk membayar dengan mengancam akan melakukan serangan tambahan di masa depan. Modus komunikasi utamanya biasanya melalui layanan pesan instan Tox.
Vektor akses awal yang tepat yang digunakan untuk menerobos lingkungan target saat ini masih belum jelas, meskipun diduga melibatkan layanan RDP dan SMB yang bersifat brute-forcing.
Langkah-langkah tindak lanjutnya meliputi melakukan pencurian kredensial menggunakan alat seperti Mimikatz dan NLBrute, dan penemuan jaringan melalui utilitas seperti Advanced Port Scanner, yang memungkinkan para penyerang bergerak secara lateral melintasi jaringan melalui RDP.
Jika berkaca pada generasi HardBit sebelumnya, kemungkinan besar ransomewar ini melakukan eksekusi beberapa langkah yang mampu mengurangi tingkat keamanan suatu host dari korbannya, sebelum kemudian mengenkripsi data korban.
Enkripsi pada host korban yang dilakukan dengan menggunakan HardBit, biasanya dikirimkan menggunakan virus penginfeksi file yang dikenal dengan nama Neshta. Perlu dicatat bahwa Neshta telah digunakan oleh para pelaku ancaman di masa lalu untuk mendistribusikan ransomware Big Head.
HardBit juga dirancang untuk menonaktifkan Microsoft Defender Antivirus dan menghentikan proses dan layanan untuk menghindari potensi deteksi aktivitasnya dan menghambat pemulihan sistem. Kemudian mengenkripsi file-file yang diinginkan, memperbarui ikon-ikonnya, mengubah wallpaper desktop, dan mengubah label volume sistem dengan string “Dikunci oleh HardBit.”
Selain ditawarkan kepada operator dalam bentuk baris perintah atau versi GUI, ransomware membutuhkan ID otorisasi agar berhasil dieksekusi. Versi GUI-nya juga mendukung mode penghapus untuk menghapus file dan menghapus disk secara permanen.
Setelah pelaku ancaman berhasil berhasil memasukkan ID otorisasi yang telah diterjemahkan, HardBit akan meminta kunci enkripsi untuk mengenkripsi file di mesin target dan kemudian dilanjutkan dengan prosedur ransomware.
Fitur mode penghapus perlu diaktifkan oleh grup HardBit Ransomware dan fitur tersebut kemungkinan merupakan fitur tambahan yang perlu dibeli oleh operator. Jika operator membutuhkan mode penghapus, operator harus menggunakan hard.txt, sebuah file konfigurasi opsional dari HardBit binary dan berisi ID otorisasi untuk mengaktifkan mode penghapus.
Perkembangan ini terjadi ketika perusahaan keamanan siber Trellix merinci serangan ransomware CACTUS yang telah diamati mampu mengeksploitasi kelemahan keamanan di Ivanti Sentry (CVE-2023-38035) untuk menginstal malware pengenkripsi file menggunakan alat desktop jarak jauh yang sah seperti AnyDesk dan Splashtop.
Aktivitas ransomware terus “berada dalam tren yang meningkat” pada tahun 2024, dengan pelaku ransomware mengklaim 962 serangan pada kuartal pertama 2024, naik dari 886 serangan yang dilaporkan dari tahun ke tahun. LockBit, Akira, dan BlackSuit telah muncul sebagai keluarga ransomware yang paling banyak ditemukan selama periode tersebut.
Menurut laporan Respons Insiden Unit 42 tahun 2024 dari Palo Alto Networks, waktu rata-rata yang diperlukan untuk beralih dari kompromi ke eksfiltrasi data anjlok dari sembilan hari pada tahun 2021 menjadi dua hari pada tahun lalu. Hampir setengah (45%) dari kasus-kasus tahun ini, waktu yang dibutuhkan hanya kurang dari 24 jam.
“Bukti yang ada menunjukkan bahwa eksploitasi kerentanan yang diketahui dalam aplikasi yang digunakan oleh publik terus menjadi vektor utama serangan ransomware,” kata perusahaan yang dimiliki oleh Broadcom. “Bring Your Own Vulnerable Driver (BYOVD) terus menjadi taktik yang disukai di antara kelompok ransomware, terutama sebagai cara untuk melumpuhkan solusi keamanan.”
Catatan:
Memastikan untuk selalu memperbarui sistem dan driver pada perangkat adalah salah satu opsi terbaik, atau jika diperlukan sebaiknya menginstal antivirus tambahan yang bisa bekerja bersamaan dengan Windows Defender/Security seperti Avast, Panda, Kaspersky, Viper.
Selalu hindari untuk menggunakan perangkat bajakan atau perangkat pihak ketiga yang tidak jelas, bahkan perangkat yang terlihat membantu dalam hal pendidikan pun sering mengabaikan masalah keamanan.
Posting Komentar