Statistik Ransomware Q1 2016

7 April 2016
Statistik Ransomware 2016 
Locky dan Teslacrypt merajalela, webserver anda menyebarkan ransomware ?
Gambar 1, Statistik Ransomware Q1, 2016

Pada sistem komputer PC, khususnya yang menggunakan OS populer Microsoft Windows, Ransomware secara de facto sudah menjadi raja diraja malware menggantikan kategori malware lainnya. Pengguna OS lainnya jangan menepuk dada dulu karena sudah mulai masuk ke dalam radar pembuat ransomware seperti munculnya KeRanger yang menyasar pengguna Mac yang populasinya mulai meningkat. Selain itu, sepak terjang ransomware seperti Slocker (Simple Locker) juga tidak main-main karena ia mulai mengenkripsi data perangkat Android korbannya dengan algoritma enkripsi AES dan seperti ransomware Windows, ia juga memanfaatkan TOR untuk berkomunikasi dengan server komandonya, selain memiliki kemampuan dikontrol melalui SMS dan mencuri data sensitif lain seperti IMEI smartphone.
Sebenarnya seberapa besar perkembangan ransomware ini dan bagaimana caranya mereka menyebar ? Ada beberapa metode yang dapat digunakan untuk mendapatkan data yang cukup akurat guna mendapatkan gambaran nyata penyebaran ransomware dan jenis ransomware apa yang menjadi ancaman nyata untuk saat ini. Vaksincom coba mengkompilasi data dari bulan Januari 2016 sampai dengan Maret 2016 guna mendapatkan gambaran perkembangan aksi ransomware ini (lihat gambar 1).

Metode analisa yang digunakan adalah dengan cara mendeteksi situs situs yang menjalankan aktivitas ransomware seperti C&C (Command and Control) center ransomware, situs distribusi dan situs pembayaran ransomware.
Sebagai gambaran, C&C center adalah komputer yang digunakan untuk mengontrol semua aktivitas ransomware, baik penyebaran, update versi atau perubahan alamat IP yang digunakan ransomware yang bersangkutan. Satu C&C server bisa digunakan untuk mengontrol belasan sampai ratusan situs distribusi ransomware.
Situs distribusi adalah situs yang digunakan untuk mendistribusikan ransomware tersebut, situs ini umumnya adalah webserver yang dengan berbagai macam teknik berhasil disusupi program distribusi ransomware. Satu situs distribusi ransomware bisa mendistibusikan ransomware ke korban yang masif lebih dari 10.000 infeksi per server distribusi dan hal ini hanya dibatasi oleh bandwidth hosting situs distribusi ransomware tersebut.
Situs pembayaran adalah situs yang bertugas melayani pembayaran ransomware menggunakan bitcoin.

Meningkat 21 kali lipat
Trend yang didapatkan cukup mengernyitkan kening karena terjadi peningkatan drastis dari bulan Januari – Maret 2016. Beberapa web server Indonesiapun tidak luput menjadi korban dan dijadikan sebagai sarana menyebarkan ransomware.
Jika di bulan Januari 2016, hanya terdeteksi 22 server yang aktif menjalankan aktivitas ransomware, hanya dalam waktu 2 bulan, server ransomware yang terdeteksi mencapai angkat 461 atau meningkat 21 kali lipat. 

Siapa yang menjadi juaranya ?
Data statistik yang dikumpulkan adalah server ransomware yang terdeteksi aktif menjalankan aksinya sepanjang kuartal pertama di tahun 2016. Kabar buruknya, terjadi trend peningkatan jumlah server ransomware dimana pada bulan Januari terdeteksi 21 IP yang aktif menyebarkan ransomware, meningkat tajam di bulan Februari menjadi 135 server atau terjadi peningkatan 6 kali lipat (600 %). Sedangkan pada bulan Maret 2016 jumlah server yang terdeteksi aktif menyebarkan ransomware naik menjadi 461 server atau berlipat 3,4 kali (340 %) dibandingkan bulan Februari 2016. Atau naik 21 kali dibandingkan Januari 2016.
Hal ini bisa dirasakan langsung oleh para pengguna internet sepanjang bulan Maret 2016 dimana emailnya dibombardir oleh email invoice dengan lampiran .zip, MS Word atau javascript yang akan mengunduh ransomware dan menjalankan tersebut jika dibuka. (lihat gambar 2)
Gambar 2, Serbuan email berisi lampiran ransomware Locky dan Teslacrypt di bulan Maret 2016

Dari 8 ransomware yang terdeteksi, pada bulan Januari dan Februari 2016 Cryptowall tercatat menjadi juaranya dan menempati peringkat 1 mengalahkan Teslacrypt dan Locky. Pendatang baru Locky, dalam gebrakannya satu bulan saja, mungkin meniru toko online yang jor-joran melakukan program Be-Ol (belanja online) ikut jor-joran menyebarkan dirinya terutama melalui email dan hanya dalam waktu 1 bulan menjadi raja diraja ransomware di bulan Maret 2016 dimana terdeteksi 252 server aktif (54.66 %) mengalahkan Cryptowall 16 (3.47 %) dan Teslacrypt 147 (31.89 %).
Sedangkan Teslacrypt kelihatannya jenis ransomware yang menyukai 10 K karena meskipun ia tidak pernah menempati peringkat 1, namun dari bulan Januari – Maret 2016 ia konsisten di peringkat 2 dan pada bulan Maret 2016 ia mengalahkan jawara Cryptowall dan menggesernya ke peringkat 3.
Hal ini sebenarnya bisa terlihat dari aktifnya Teslacrypt menyebarkan varian baru setiap kali terdeteksi oleh antivirus. Bahkan Teslacrypt bertransformasi dari versi 2.0 ke versi 3.0 untuk menutupi kelemahan pemrograman dimana versi 2.0 yang bisa dieksploitasi untuk mendapatkan private key tanpa perlu membayar ransom. Untuk detail statistik ransomware silahkan lihat di tabel 3 di bawah ini.
Tabel 3, Statistik Ransomware Q1, 2016

IP Indonesia yang mengandung ransomware
Dari pantauan Vaksincom, tidak banyak IP publik milik Indonesia yang berhasil disusupi oleh ransomware, sampai dengan akhir Maret 2016, dari total 618 IP yang terdeteksi menyebarkan ransomware, tercatat hanya 2 IP milik Indonesia dan 1 IP milik Singapura namun dioperasikan oleh perusahaan Indonesia yang terdeteksi menyebarkan ransomware Cryptowall dan Teslacrypt (lihat gambar 4).
Dibandingkan dengan negara lain di Asean, posisi Indonesia cukup baik (jika memperhitungkan perbandingan jumlah penduduk yang mengakses internet) karena posisi Indonesia sama dengan Malaysia dan Thailand. Jawara di Asean dipegang oleh Vietnam dengan 9 server yang menyebarkan ransomware disusul oleh Singapura sebanyak 7 server.
Gambar 4, IP Indonesia yang pernah menyebarkan ransomware
Salam,

Alfons Tanujaya
info@vaksin.com
 
PT. Vaksincom
Jl. R.P. Soeroso 7AA
Cikini
Jakarta 10330
Ph : 021 3190 3800

Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom
Twitter : @vaksincom
Share by: