Statistik Ransomware Indonesia Q2 2016

5 Agustus 2016
Statistik Ransomware Indonesia Q2 2016
Locky dan Cerber merajalela
Ibarat dunia mafia di dunia nyata, dimana jika satu pemimpin mafia besar berhasil ditangkap biasanya akan mengakibatkan guncangan pada organisasi tersebut. Namun hal ini tidak serta merta mematikan organisasi mafia yang dipimpinnya karena dalam waktu singkat biasanya muncul figur mafia lain yang menggantikan posisinya dan meneruskan bisnis mafia yang menggiurkan tersebut. Salah satu cara yang efektif membasmi mafia adalah menghilangkan motivasi pendirian organisasi mafia tersebut. Di dunia ransomware, mundurnya Teslacrypt yang merupakan salah satu pemain besar dari percaturan ransomware di bulan Mei 2016 sempat membuat guncangan dan menurunkan serangan ransomware secara signifikan pada bulan Juni 2016 dimana pada bulan Mei 2016 terdeteksi 338 server ransomware yang aktif dan di bulan Juni mengalami penurunan sebanyak 74 % menjadi hanya 89 server. Para penggiat sekuriti sempat bergembira melihat perkembangan positif ini, namun keuntungan finansial besar yang memotivasi penyebaran ransomware ini segera menciptakan pemain baru dan celakanya, di bulan Juli 2016 terjadi peningkatan luar biasa dalam penyebaran ransomware dan server penyebar ranwomware yang terpantau mengalami peningkatan luarbiasa. Bukan saja melampaui bulan Juni, server ransomware jenis baru yang aktif di bulan Juli bahkan menjadi bulan dengan server ransomware aktif tertinggi di tahun 2016 mengalahkan bulan Mei 2016 dengan server penyebar ransomware mencapai 778 server, yang terdiri dari server botnet, server pembayaran dan server distribusi. Sedangkan jenis ransomware yang menggantikan posisi Teslacrypt sekarang dipegang oleh Locky dan ditempel ketat oleh Cerber.
Salah satu ransomware yang sedang mengganas di Indonesia dan disinyalir sangat dekat dengan Locky adalah Zepto Ransomware dimana file korbannya akan dienkrip dan mendapatkan akhiran .zepto. Penyebarannya saat ini terutama dari email dengan lampiran .zip dan file docm (MS Word Macro).

Locky dan Cerber
Dari total 778 server ransomware yang aktif di bulan Juli, Locky mendominasi dengan jumlah sebanyak 571 server (73 %), disusul oleh Cerber sebanyak 196 server (25 %). Dibandingkan bulan Juni yang hanya memiliki 33 server penyebaran aktif, Locky mengalami peningkatan luar biasa. Bahkan melewati server aktif di bulan Mei sebanyak 312 server aktif, dimana seperti kita ketahui, bulan Mei 2016 sebelumnya merupakan bulan dengan penyebaran ransomware tertinggi di tahun 2016 dan pasti posisi tersebut diambil alih oleh bulan Juli 2016.
Sedangkan Cerber yang memulai debutnya di bulan Juni dengan 41 server aktif, mengalami peningkatan signifikan menjadi 196 server atau lebih dari 470 %. Suatu angka yang cukup fantastis untuk ransomware pemula.

IP Indonesia penyebar Ransomware
Dari 778 server yang aktif menyebarkan ransomware, terdeteksi 2 IP dari Indonesia. Sebagai catatan, penyebaran ransomware tidak tergantung IP lokal untuk menginfeksi komputer dan setiap komputer yang terkoneksi ke internet bisa terinfeksi ransomware sekalipun servernya tidak terletak di Indonesia. IP lokal yang terinfeksi juga tidak menunjukkan adanya korelasi antara pemilik IP dengan pembuat ransomware, bisa saja server tersebut memiliki celah keamanan dan berhasil dieksploitasi pembuat ransomware dan dijadikan sebagai server distribusi ransomware. Adapun dua IP lokal yang mendistribusikan ransomware adalah IP dari institusi pendidikan dan institusi pemerintah daerah (lihat gambar 1) :

Gambar 1, Institusi pendidikan yang berhasil disusupi Locky dan menjadi server distribusinya

Adapun kedua IP penyebar Locky tersebut adalah 175.45.184.* dan 49.50.8.* dimana salah satu IP tersebut masih mengandung kode yang terdeteksi oleh G Data sampai dengan saat artikel ini ditulis.

Hati-hati dengan email berlampiran .zip dan Word Macro
Dalam 1 minggu pertama di bulan Agustus 2016, Vaksincom mendapatkan banyak laporan korban ransomware yang mengenkripsi data menjadi .zepto. Ransomware ini disinyalir memiliki hubungan dengan Locky karena banyak kode dan payload yang sangat mirip. Locky jika mengenkripsi akan memberikan akhiran .locky pada file yang telah di enkripsi. Kabar buruknya, saat ini masih belum ditemukan cara untuk mendekripsi file yang dienkripsi Zepto, karena itu Vaksincom mengingatkan para pengguna komputer khususnya yang terhubung ke jaringan dan memiliki data yang di share atau administrator database dan NAS untuk selalu melakukan BACKUP data secara teratur dan simpan secara terpisah dan tidak dihubungkan kembali ke jaringan karena banyak ransomware yang juga mengincar dan mengenkripsi data backup.

Zepto akan datang dalam email mengandung lampiran terenkripsi baik dalam file JS yang dikompresi menjadi .zip (lihat gambar 2) atau Word Macro.
Gambar 2, Email yang mengandung lampiran dengan ransomware

Adapun tabel ransomwware untuk kuartal 2 2016 dapat dilihat pada gambar 3 di bawah ini.
Gambar 3, Statistik Ransomware Indonesia Q2 2016
Salam,

Alfons Tanujaya
info@vaksin.com
 
PT. Vaksincom
Jl. R.P. Soeroso 7AA
Cikini
Jakarta 10330
Ph : 021 3190 3800

Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom
Twitter : @vaksincom
Share by: