Jakarta (PARADE.ID)-
Biro Investigasi Federal Amerika Serikat (FBI) memperingatkan sektor industri tentang peningkatan aktivitas ransomware Ragnar Locker.
Dilansir dari Bleeping Computer, FBI bersama dengan Kementerian Keamanan Dalam Negeri AS (DHS), dan otoritas keamanan siber Amerika CISA, baru saja mengeluarkan edaran yang memperingatkan sektor industri untuk meningkatkan keamanan sistem mereka dari kemungkinkan serangan ransomware Ragnar Locker.
FBI mengatakan pertama kali mengamati Ragnar Locker pada April lalu, ketika aktor ancaman yang tidak dikenal, menggunakannya untuk mengenkripsi file milik salah satu perusahaan besar dan meminta uang tebusan sekitar US$ 11 juta dan mengancam akan merilis 10 TB data sensitif perusahaan jika tidak membayarnya.
“Sejak itu, Ragnar Locker telah digunakan lebih luas termasuk menyasar penyedia layanan cloud, komunikasi, konstruksi, perjalanan, dan perusahaan perangkat lunak,” tulis FBI.
Perusahaan yang menjadi korban dari ransomware ini adalah Energias de Portugal (EDP), yang merupakan salah satu operator sektor energi terbesar di Eropa dengan lebih dari 11.500 karyawan dan memberikan energi ke lebih dari 11 juta pelanggan di 19 negara dan di 4 benua.
Dalam serangan pada April lalu, operator Ragnar Locker berhasil mengekstrak sekitar 10TB informasi rahasia perusahaan tentang penagihan, kontrak, transaksi, klien, dan mitra. Selain itu, mereka juga mencuri ekspor database pengelola kata sandi KeePass yang berisi nama masuk, kata sandi, akun, URL, dan catatan karyawan EDP. Namun, serangan ransomware itu tidak berdampak pada infrastruktur kritis dan layanan catu daya perusahaan.
Catatan permintaan uang tebusan (kiri) dan file yang telah dienkripsi menggunakan ransomware Ragnar Locker. | Bleepingcomputer
Taktik Ragnar Locker
Dalam melakukan serangannya, operator Ragnar Locker menyebarkan muatan ransomware-nya secara manual untuk mengenkripsi sistem korban setelah tahap pengintaian. Hal ini dilakukan untuk membantu operator menemukan sumber daya jaringan, cadangan perusahaan, dan berbagai file sensitif lainnya yang akan dikumpulkan untuk eksfiltrasi data.
Mereka juga menggunakan teknik penyamaran muatan untuk menghindari deteksi, serta telah menggunakan algoritme pengemasan khusus dan mengenkripsi file korban dari mesin virtual Windows XP yang ditempatkan di sistem mereka. Mereka juga akan mencantumkan semua layanan yang digunakan, untuk menonaktikan layanan yang digunakan untuk mengelola jaringan klien mereka dari jarak jauh.
Setelah melalui tahap pengintaian dan pra-penyebaran, pelaku Ragnar Locker menjatuhkan ransomware yang sangat bertarget yang dapat dieksekusi dengan menambahkan ekstensi “RGNR_” khusus yang merupakan hash dari nama NETBIOS komputer.
Ransomware ini memiliki kunci RSA-2048 yang disematkan dan juga akan memberikan catatan tebusan khusus pada sistem terenkripsi. Catatan tebusan Ragnar Locker akan menyertakan nama perusahaan korban, tautan ke situs Tor, dan situs kebocoran data tempat geng ransomware akan mempublikasikan data korban.
(Cyberthreat.id/PARADE.ID)