Statistik Ransomware April 2016

9 Mei 2016
Statistik Ransomware April 2016
Pengguna Online Shoppingpun menjadi sasaran
Penurunan harga minyak hingga lebih dari 60 % di bulan Januari 2016 membuat para pengguna energi bersorak, sebaliknya sektor bisnis yang bersentuhan dengan energi langsung anjlok dan mengalami penurunan drastis. Hal yang mirip terjadi pada dunia ransomware di bulan April 2016 dimana persentase server ransomware mengalami penurunan signifikan sampai 60 %. Bagi para pengguna komputer, turunnya persentase server kontrol dan penyebaran ransomware tentunya memberikan kelegaan bahwa ancaman ransomware di bulan April tidak seganas bulan Maret 2016. Menurut statistik yang dikumpulkan Vaksincom, total server pendukung 6 ransomware utama mengalami penurunan signifikan dari 461 server menjadi “hanya” 172 server pada bulan April 2016. Bahkan ada 2 ransomware top yang masih eksis di bulan Maret 2016 langsung kehilangan gaungnya di bulan April 2016. Menyisakan 4 ransomware utama Locky, Paycrypt, Teslacrypt dan Torrentlocker. Namun kabar buruknya, ada dua ransomware yang patut diwaspadai karena mulai banyak memakan korban: Cerber dan .crypt.

Pengguna Online Shopping Menjadi Sasaran
Karena ransomware ini sudah menjadi model bisnis (untuk dunia kriminal), tentunya pemilik jaringan ransomware seperti Locky dan Teslacrypt ini akan berusaha semaksimal mungkin menjaring korban baru guna mendapatkan keuntungan uang tebusan sebanyak mungkin. Teknik yang digunakan juga tidak main-main. Terbukti setiap kali gelombang email downloader / installer ransomware yang biasanya dikirimkan dalam bentuk .zip dan .rar ini selalu terdeteksi sebagai varian malware baru, baik sebagai trojan ataupun downloader. File pengunduh ransomware ini pun bervariasi, bisa datang dalam bentuk dokumen MS Office yang mengeksploitasi Macro atau menggunkan Java Script yang dirancang secara khusus guna menghindari deteksi oleh program antivirus. (lihat gambar 1 dan 2)
Gambar 1, Ransomware yang mengirimkan email dengan lampiran JS. Downloader.HZ
Gambar 2, Pada gelombang sebelumnya email yang dikirimkan menggunakan downloader berbeda JS.Agent.NA

Rekayasa sosial yang digunakan juga cukup kreatif, kalau teknik sebelumnya menggunakan email yang tertuju kebagian finance seakan-akan mengirimkan invoice atau tagihan yang tertunda dan harus dilunasi. Email-email berikutnya yang dikirimkan seakan-akan mengirimkan dokumen MS Office yang berisi JS.downloader atau rekayasa sosial mengirimkan Pricelist seperti pada gambar 2 di atas. Ada pula rekayasa sosial yang kemungkinan cukup berbahaya bagi para penggemar online shopping karena ia akan memalsukan email seakan-akan dari Amazon tentang pengiriman pesanannya. Jika korbannya kebetulan pengguna Amazon, besar kemungkinan akan terperdaya untuk membuka lampiran yang dilampirkan yang sebenarnya Trojan.JS.Agent.KVR yang jika diaktifkan akan menghubungi server komando ransomware guna menginjeksikan ransomware ke komputer korbannya. (lihat gambar 3)
Gambar 3, Email ransomware yang memalsukan pengiriman barang dari Amazon

Exploit Kit
Dalam banyak kasus, ransomware berhasil menginfeksi komputer sekalipun sudah diproteksi dengan antivirus yang terupdate. Korban banyak yang terheran-heran, sebenarnya apa rahasia ransomware ini sehingga mampu melewati perlindungan antivirus.
Salah satu senjata rahasia terbesar yang digunakan adalah Exploit Kit. Exploit kit adalah program khusus yang diciptakan untuk mengeksploitasi celah keamanan. Dalam banyak kasus, eksploitasi celah keamanan dapat menembus perlindungan program antivirus. Exploit kit yang sangat populer digunakan oleh ransomware adalah Angler Exploit Kit yang versi teranyarnya bahkan mampu melakukan instalasi malware secara fileless atau tidak mengunduh file instalasi malware ke harddisk dan hanya menjalankannya dari memori komputer. Biasanya, celah keamanan yang diincar adalah celah keamanan peramban dan aplikasi yang sering menjadi sasaran exploit kit adalah Flash dan Java. Cara yang efektif untuk mencegah infeksi ransomware ini adalah dengan menutupi semua celah keamanan piranti lunak yang dieksploitasi secara disiplin. Atau gunakan perlindungan antivirus yang memiliki fitur Anti Exploit.

Statistik Ransomware
Dibandingkan bulan Maret 2016, server yang aktif menyebarkan ransomware turun dari 461 server menjadi 172 atau terjadi penurunan 62 %. Dari 6 ransomware yang aktif di bulan Maret 2016, tercatat 4 ransomware Cryptowall dan CTBLocker menghilang dan hanya 4 ransomware yang bertahan, Torrentlocker, Paycrypt, Teslacrypt dan Locky. (lihat gambar 4)
Gambar 4, 4 Ransomware yang masih bertahan di April 2016

4 ransomware yang bertahan ini juga mengalami penurunan yang signifikan dimana Locky mengalami penurunan dari 252 server menjadi hanya 100 server atau mengalami penurunan sebesar 60 %. Teslacrypt mengalami penurunan dari 147 server di bulan Maret 2016 menjadi hanya 55 server di bulan April atau mengalami penurunan sebesar 62 % (lihat gambar 5)
Gambar 5, Tabel server penyebaran ransomware April 2016 dibandingkan bulan Maret 2016

Dari 172 domain yang di deteksi aktif menjadi pusat komando, server pembayaran atau server penyebaran ransomware umumnya di dominasi IP dari Amerika Serikat dan Eropa dan tidak ada IP Indonesia yang terdeteksi. Namun ada beberapa IP dari Singapura, 1 IP Malaysia dan 1 IP Vietnam yang berhasil dikuasai dan digunakan untuk menjalankan aksi ransomware. (lihat gambar 6)
Gambar 6, IP server di Asia Tenggara yang menyebarkan ransomware April 2016
Salam,

Alfons Tanujaya
info@vaksin.com
 
PT. Vaksincom
Jl. R.P. Soeroso 7AA
Cikini
Jakarta 10330
Ph : 021 3190 3800

Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom
Twitter : @vaksincom
Share by: