Cerber, ransomware as a services

5 Oktober2016
Cerber 3
Ransomware yang sadar marketing
Cerber atau Cerberus adalah makhluk mitologi Yunani kuno yang digambarkan sebagai makhluk yang memiliki 3 kepala anjing dengan ekor ular berbisa yang bertugas menjaga pintu neraka yang dihuni oleh Hades dan arwah-arwah yang ditempatkan di neraka. Mungkin pembuat ransomware cerber ini ingin merepresentasikan diri mereka dengan kebuasan cerber sehingga korbannya bertekuk lutut dan membayar uang tebusan yang dipakai. Namun kelakuan Cerber yang sangat cepat berganti varian dan saat artikel ini di tulis sudah mencapai versi Cerber 3 lebih mengingatkan penulis pada tahun 1980-an dimana saat itu ada Cergam Cerita Bergambar dan Cerber Cerita Bersambung yang digandrungi remaja pada masanya. Kurang berhasil dengan cerber 1 dan 2 karena berhasil enkripsinya dieksploitasi oleh Checkpoint, pembuat Cerber ini langsung memperbaiki celah keamanan yang di eksploitasi oleh Checkpoint dan mengeluarkan Cerber 3. Kabar buruknya, Cerber 3 ini sampai saat ini belum bisa dipecahkan dan data yang dienkripsi oleh Cerber 3 tidak bisa di dekirpsi tanpa membayar ransomware yang diminta.
Dibandingkan dengan ransowmare lain, Cerber memiliki satu kelebihan yang tidak dimiliki ransomware lain, dimana ia menyebarkan dirinya menggunakan metode SaaS Software as a Services atau lebih tepatnya RaaS Ransomware as a Services. Mengadopsi perkembangan sistem penjualan piranti lunak terbaru yang dijual sebagai layanan berlangganan dan bukan beli putus. Namun, karena hal yang dilakukan melanggar hukum dan menyusahkan orang banyak karena menyandera data orang lain dan meminta tebusan untuk mengembalikan data tersebut maka banyak langkah pengamanan yang dilakukan oleh kriminal pembuat Cerber ini dalam menjalankan aksinya dengan tujuan utama menghindari penangkapan oleh pihak berwajib.

Teknik penyebaran
Meskipun memiliki kemampuan menyebar melalui website, penyebaran melalui email masih tetap menjadi metode favorit Cerber. Hal ini disinyalir karena tingkat pembayaran uang tebusan dari korban yang terinfeksi melalui email lebih tinggi dari korban yang terinfeksi melalui website. Kemungkinan karena penerima email kebanyakan memang menggunakan komputer untuk tujuan bisnis sehingga secara finansial cukup mampu membayar tebusan yang diminta untuk mendapatkan kembali datanya.
Metode penyebaran yang digunakan tidak berbeda dengan ransomware lain di tahun 2016 ini dimana ia akan datang dalam lampiran baik docm, rtf dan file terkompres. Perkembangan terakhir yang dipantau Vaksincom, ransomware juga mulai memanfaatkan ekstensi .xls yang sebenarnya adalah file XML yang jika dijalankan akan mengunduh ransomware dan menginstal dirinya di komputer korbannya.
Cerdiknya, lampiran yang dikirimkan sama sekali tidak mengandung file ransomware itu sendiri dan hanya berisi script untuk mengunduh file sehingga jika terdeteksi sekalipun oleh program antivirus tidak akan terlalu membantu mencegah infeksi malware karena pembuat Cerber hanya perlu merubah sedikit script dan kembali tidak terdeteksi. Lalu teknik berikut yang melapangkan aksi ransomware ini adalah penggunaan exploit kit. Hebatnya lagi, Cerber menggunakan 3 jenis exploit kit yang bisa berbeda-beda di setiap negara : Magnitude, Neutrino dan Rig. Untuk kasus infeksi di Indonesia exploit kit yang digunakan adalah Neutrino.
Sebagai informasi, exploit kit adalah program yang mencari celah keamanan suatu sistem dan jika ia berhasil mendapatkan celah keamanan sitem tersebut, ia akan langsung menjalankan aksinya mengeksploitasi sistem tersebut dengan menjalankan malware. Dalam banyak kasus, sistem yang memiliki celah keamanan dan belum di patch (tambal) akan bisa terinfeksi oleh malware “sekalipun” sistem tersebut sudah diproteksi oleh program antivirus yang terupdate. Karena itu sangat penting bagi para pengguna komputer untuk memastikan sistem komputernya selalu terupdate dan tidak memiliki celah keamanan. Celah keamanan bisa terkandung dalam Sistem Operasi seperti Microsoft Windows maupun aplikasi pendukung seperti Microsoft Office, Adobe Acrobat, Adobe Flash pada peramban dan program lainnya.
Dari kasus ini bisa kita simpulkan bahwa OS teranyar yang masih di support oleh Microsft saja seperti Windows 7, Windows 8 dan Windows 10 bisa terinfeksi oleh ransomware jika tidak melakukan patch, apalagi OS yang sudah tidak di support seperti Windows XP. Karena jika ditemukan celah keamanan pada Windows XP dan Microsoft sudah tidak memberikan tambalan / patch karena sudah tidak di support, maka resiko infeksi ransomware di Windows XP sangat tinggi.

Satu hal yang cukup membuat khawatir adalah kemampuan yang tersimpan pada kode Cerber yang menunggu diaktifkan dimana ia mampu mencari open share dari komputer yang di infeksinya di jaringan dan sekaligus membuka akses ke seluruh open share di jaringan, sekalipun pengguna komputer yang di infeksinya tidak pernah melakukan akses ke open share tersebut. Karena itu sangat penting bari para pengguna komputer di dalan jaringan untuk selalu membackup data pribadinya yang dishare ke jaringan intranet karena rentan dienkripsi oleh ransomware dari komputer lain.

RaaS Ransomware as a Services
Cerber mengaplikasikan SaaS Software as a Services dengan baik. Sebagai gambaran SaaS adalah trend teranyar dalam dunia piranti lunak yang memanfaatkan teknologi cloud dimana jika selama ini sistem penjualan piranti lunak dijual putus namun dengan keterbatasan seperti jika terjadi pergantian versi harus membeli kembali. Dengan sistem SaaS ini piranti lunak dijual sebagai layanan dimana konsumen membayar biaya sewa piranti lunak per periode (eg : bulanan) dan mereka berhak menggunakan piranti lunak terbaru tanpa perlu membeli lagi. Sebagai contoh SaaS adalah Microsoft Office 360 yang berbayar atau Google Docs yang dapat dinikmati secara gratis.
Banyak manfaat dari layanan cloud ini dimaksimalkan oleh Cerber dalam menyebarkan dirinya. Salah satu hambatan dalam penyebaran malware (ransomware) adalah hambatan kurangnya pengetahuan, pengalaman dan akses ke jaringan infrastruktur yang handal, rumit dan aman untuk menyebarkan ransomware. Padahal secara bisnis ransomware ini sangat menguntungkan, dibuat satu kali tetapi bisa mendapatkan keuntungan berkali-kali. Selama ini hanya programmer berpengalaman saja yang mampu menikmati keuntungan besar dari menyebarkan ransomware. Dengan Cerber, programmer pemula sekalipun dengan mudah berhubungan dengan pembuat ransomware ini pada forum rahasia / underground. Dengan hanya modal uang dalam jumlah kecil, programmer pemula ini akan mendapatkan varian ransomware yang tidak terdeteksi dan ia juga mendapatkan menu tatap muka yang mudah digunakan. Sebagai catatan, Cerber memiliki 161 afiliasi yang menjalankan aksinya dan berhasil menginfeksi 150.000 korban dengan keuntungan sekitar Rp. 2,5 milyar pada hanya bulan Juli 2016.
Sistem pembagian hasil yang dilakukan Cerber juga cukup murah hati sehingga mudah mendapatkan afiliasi dimana pihak penyebar mendapatkan persentase keuntungan yang lebih besar dari pembuat Cerber ini sendiri. Namun jika digabungkan penghasilan dari seluruh afiliasi, pembuat Cerber ini mendapatkan nominal keuntungan terbesar.

Bypass UAC dan mendeteksi VM Virtual Machine
Cerber juga memiliki kemampuan melewati pengamanan UAC User Account Control Windows yang bertugas mencegah instalasi piranti lunak jahat. Lebih hebatnya lagi, Cerber mampu mendeteksi Virtual Machine seperti Hypervisor, Virtual Box, Parallels, Qemu, VMWare dan Wine. Adapun teknik yang digunakan beragam seperti deteksi system artifacts, deteksi sistem sertifikat aplikasi virtualisasi dan registri komputer. Tujuan mendeteksi VM adalah untuk mempersulit ahli sekuriti menjalankan dirinya pada lingkungan virtual dan menganalisa aksinya.

Sadar Marketing
Beda dengan beberapa ransomware lain, sekalipun melakukan tindak kriminal, pembuat Cerber kelihatannya juga menerapkan ilmu pemasaran. Hal ini terlihat dari aksinya yang secara aktif memberikan layanan bagi korbannya dan mempermudah korbannya membayar uang tebusan seperti :
  • Multi Bahasa. Komunikasi permintaan uang tebusan ditampilkan dalam 12 bahasa. Selain Bahasa Inggris, permintaan tebusan juga ditampilkan secara profesional dalam bahasa Jerman, Spanyol, Perancis, China, Jepang, Portugis, Polandia, Italia, Turki, Arab dan Belanda. (lihat gambar 1)
Gambar 1, Permintaan tebusan dalam 12 bahasa

  • Berusaha mendapatkan kepercayaan konsumen dengan memberikan bukti bahwa mereka memiliki kunci dekripsi.
    Tentunya korbannya ragu, apakah pembuat Cerber ini benar memiliki kunci privat (privat key) untuk dekripsi datanya. Karena itu pembuat Cerber ini memberikan layanan Gratis dekripsi 1 buah file [Decrypt 1 file for FREE]. Hal ini untuk memberikan bukti kepada korbannya bahwa mereka memiliki kunci dekripsi dan jika korbannya melakukan pembayaran, mereka berjanji mengirimkan kunci tersebut. (lihat gambar 2)
  • Memberikan layanan support dengan menyediakan layanan tanya jawab. (lihat gambar 2). Dengan tidak tahu malunya, sekalipun sudah jelas-jelas mereka yang melakukan enkripsi, ibarat perusahaan piranti lunak legal, pembuat Cerber ini tanpa malu-malu memberikan layanan support bagi korbannya. Andai pembuat Cerber ini bergerak di jalan yang benar, hal ini tentunya merupakan satu hal yang membanggakan.

Gambar 2, Cerber memberikan layanan dekripsi gratis 1 file dan layanan support
Salam,

Alfons Tanujaya
info@vaksin.com
 
PT. Vaksincom
Jl. R.P. Soeroso 7AA
Cikini
Jakarta 10330
Ph : 021 3190 3800

Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom
Twitter : @vaksincom
Share by: