Jakarta (PARADE.ID)- Baru-baru ini peneliti MalwareHunterTeam menemukan operasi ransomware baru yang dijuluki DarkSide, meluncurkan serangan yang disesuaikan (customized) dan meminta jutaan dolar AS sebagai pembayaran tebusan. Customized artinya disesuaikan dengan keperluan penjahat cyber-nya.
Kesamaan dalam kode sumber (source code) menyiratkan bahwa para operator ransomware ini bakal mengikuti jejak ransomware GandCrab dan REvil.
Operasi ransomware baru DarkSide disebut-sebut telah menyerang banyak perusahaan. Serangan ditujukan untuk mendapatkan akses ke akun administrator dan pengontrol domain Windows di jaringan yang dibobol.
Setelah masuk ke dalam, ransomware ini mengambil data yang tidak dienkripsi dari server korban lalu mengunggahnya ke perangkat mereka sendiri.
“Kami adalah produk baru di pasaran, tetapi bukan berarti kami tidak memiliki pengalaman dan kami datang entah dari mana. Kami mendapat keuntungan jutaan dolar bermitra dengan cryptolocker terkenal lainnya,” demikian keterangan DarkSide dilansir Bleeping Computer, Jumat (21 Agustus 2020).
Vitali Kremez – peneliti dari Advanced Intel – mengatakan DarkSide mampu menghentikan berbagai database, aplikasi kantor, dan email klien untuk mempersiapkan mesin korban agar di-enkripsi.
Permintaan tebusan di kisaran $200.000 hingga $2.000.000. Tak sampai di situ, penjahat cyber ini juga memiliki situs web kebocoran (data dumping). Di dalam situs web tersebut, operator ransomware mencantumkan perusahaan korban, tanggal insiden, informasi yang dibobol, dan tangkapan layar. Semua ditampilkan sebagai bukti-bukti.
Hacker DarkSide mengklaim telah menghasilkan jutaan dolar AS selama bekerja dengan cryptolocker terkenal lainnya. Dan, upaya mereka tidak akan berhenti sampai di situ.
Dalam pemberitahuannya, DarkSide menyatakan sedang mencari produk baru yang disesuaikan dengan kebutuhan mereka. Itu sebabnya ransomware customized diciptakan dan terus dikembangkan.
Meski demikian, ada yang unik dari serangan ransomware yang di-customized ini. Dalam siaran pers yang diterbitkan DarkSide, mereka mengatakan tidak berencana untuk menargetkan beberapa sektor, termasuk perawatan kesehatan, pendidikan, pemerintah, dan organisasi nirlaba.
KoneksikeREvildanGandCrab
DarkSide memang sengaja menghindari korban yang menginfeksi di negara-negara Commonwealth of Independent States (CIS). Kode sumber untuk melakukan serangan seperti ini mirip dengan kode yang digunakan di REvil dan GandCrab.
Selain itu, permintaan tebusan yang ditinggalkan oleh REvil menggunakan template yang hampir sama seperti yang digunakan oleh catatan tebusan REvil.
Dalam beberapa bulan terakhir, jumlah serangan ransomware meningkat secara drastis. Di satu sisi, sebagian besar ransomware baru seperti VHD, Ensiko, dan beberapa lainnya telah muncul di pasaran, sementara di sisi lain, hampir semua lembaga penegak hukum besar seperti Interpol dan FBI sibuk memberi tahu pengguna tentang peningkatan tajam dalam setiap aktivitas terkait ransomware.
Secara umum, ancaman maupun risiko ransomware terus berkembang sehingga perusahaan/organisasi perlu tindakan ekstrim. Diantaranya sering melakukan backup data, menerapkan otentikasi multi-faktor (MFA), dan menggunakan solusi pencegahan dan deteksi intrusi.
(Cyberthreat/PARADE.ID)