Cryptowall King of Ransomware 2015

19 November 2015
Mama minta pulsa, Papa minta saham
Cryptowall minta Bitcoin
Tukang minta-minta rupanya tidak hanya banyak di lampu merah, di ranah digital juga banyak tikang minta-minta seperti kejadian “mama minta pulsa” yang pelakunya sudah ditangkap polisi, “papa minta saham” yang sempat menjadi trending topik di Twitter dan hal ini dilengkapi dengan tukang minta-minta yang ketiga Cryptowall minta Bitcoin. Cryptowall disini adalah salah satu nama ransomware, yang secara de facto dapat dikatakan sebagai raja ransomware 2015. Jika ransomware menjadi raja malware 2015, maka tidak salah jika Cryptowall menjadi salah satu raja di raja malware 2015. Beberapa dasar mengapa Cryptowall pantas dinobatkan sebagai Raja Ransomware adalah karena ia memiliki sangat banyak varian (lebih dari 4.500), lebih dari 1.200 C&C (Command and Control) dengan usaha infeksi yang terdeteksi lebih dari 400.000 (hanya varian ketiga saja) dan menurut Cyber Threat Alliance (aliansi perusahaan sekuriti yang memfokuskan perhatian pada aksi Cryptowall di seluruh dunia) perkiraan kerugian yang diakubatkan di seluruh dunia sekitar US $ 325 juta atau lebih dari 4 triliun rupiah.
Ransomware adalah program jahat (malware) yang menjalankan aksinya dengan mengunci (enkrip) dokumen / file-file penting di komputer korbannya seperti file Office, foto, gambar, email dan backup dengan kunci rahasia yang hanya dimiliki oleh pembuat malware dan meminta pembayaran uang (biasanya Bitcoin) untuk membuka kembali file yang dikunci tersebut.

King of ransomware
Mengapa Cryptowall dinobatkan sebagai King of Ransomware 2015 ? Hal ini terjadi karena aksi Cryptowall yang paling banyak memakan korban dibandingkan ransomware lain di seluruh dunia. Sampai November 2015 saja, sudah ditemukan :
4.546 varian cryptowall
1.213 C&C (command and control). C&C adalah komputer / server yang digunakan untuk mengontrol ratusan ribu malware Cryptowall yang sedang menjalankan aksinya. C&C ini digunakan oleh pembuat malware guna mempersulit pihak berwajib melacak keberadaan pembuat malware yang sebenarnya ini.
53 negara termasuk Indonesia.

Sebagai catatan, sampai saat artikel ini dibuat, terdeteksi 324 varian Cryptowall dengan 13 C&C di Indonesia. Adapun beberapa C&C yang pernah terdeteksi dapat di lihat pada gambar 1 di bawah ini :
Gambar 1, Command and Control Cryptowall yang terdeteksi oleh Cyberthreatalliance

Beberapa situs Indonesia yang berhasil disusupi oleh Cryptowall adalah bhinnekaonline, patrakom, lakilaki.co.id dan katadata.com.

Secara jumlah C&C Indonesia termasuk dalam kategori rendah jika dibandingkan dengan negara tetangga, C&C Indonesia menempati peringkat ke 4 setelah Thailand (25), Vietnam (23) dan Singapura (15). Sedangkan negara tetangga lain seperti Malaysia (5) dan Australia (6) masih memiliki C&C di bawah Indonesia. Namun Indonesia memiliki satu C&C di Bhinnekaonline yang menduduki peringkat 6 sebagai C&C yang paling banyak mengontrol sistem komputer yang terinfeksi Cryptowall di Indonesia, yaitu sebanyak 56 sistem.
Gambar 2, Salah satu C&C Indonesia sempat mengontrol 56 sistem komputer yang terinfeksi Cryptowall

Metode penyebaran yang berubah
Metode awal yang digunakan oleh Cryptowall untuk menyebarkan dirinya adalah melalui lampiran email phishing yang akan menggunakan nama acak seperti :
internal_31572.scr
internal_04531572
internal_A8392J-DNGE82-378251-238375.scr
invoice_285699291.scr
VOICE8419.scr
FAX-id123912481712931.scr
fax-message942-758-273.scr
credit_application.exe
Jika diperhatikan, ekstensi yang digunakan adalah akstensi .exe dan .scr yang seharusnya dapat dihentikan oleh mailserver karena bentuknya executable (bisa dijalankan) yang umumnya diblok oleh mailserver. Tetapi rupanya pembuat malware ini cukup cerdik melakukan kompres / zip pada lampiran yang dikirimkan melalui email sehingga lampiran tersebut akan tetap diteruskan oleh mailserver. Disinilah pentingnya memiliki program antivirus yang mampu mendeteksi malware yang disembunyikan dalam laimpiran terkompres seperti .zip.
Pada kuartal pertama 2015, perbandingan penyebaran Cryptowall adalah 67,5 % phishing email dan 30,7 % exploit kit. Namun, kelihatannya pembuat Cryptowall ini mengevaluasi metode phishing email yang digunakannya kurang efektif dan metode penyebaran melalui exploit kit lebih efektif sehingga mengubah metode penyebarannya denga memfokuskan pada exploit kit dan metode penyebaran melalui phishing email menurun menjadi 14 – 15 % setelah April 2015.
Adapun exploit kit yang paling sering digunakan untuk menyebarkan Cryptowall adalah Angler Exploit Kit. 

Exploit kit adalah piranti lunak (software) yang di desain untuk dijalankan pada web server dengan tujuan untuk mendeteksi celah keamanan software pada komputer-komputer yang terkoneksi kepadanya. Lalu ia akan mengeksploitasi celah keamanan yang ditemukan dengan mengirimkan dan menjalankan kode jahat yang telah dipersiapkan ke komputer korban / kliennya.

Sedangkan Angler Exploit Kit adalah salah satu exploit kit canggih yang sering digunakan untuk aktivitas kriminal dan diperjual belikan pada pasar penjualan software tidak resmi / ilegal (underground market). Ia memiliki kemampuan menyuntikkan kode eksploitasi langsung ke memori komputer korbannya tanpa perlu menulis / mengkopi ke harddisk. Pengiriman kode eksploitasi itu sendiri dilakukan dalam jalur komunikasi yang terenkripsi, berarti tidak akan bisa di deteksi oleh program antivirus. Salah satu celah keamanan yang menjadi incaran favorit Angler adalah Flash, namun pembuat Angler ini sangat reponsif dan sangat cepat mengadopsi celah keamanan baru ke dalam Angler Exploit Kit ini.

Dalam dunia nyata, jika anda membuka situs pada server yang mengandung Angler Exploit Kit, maka ia akan secara otomatis memeriksa sistem komputer anda guna mendapatkan celah keamanan dan melakukan eksploitasi dengan mengirimkan kode jahat untuk menguasai sistem anda seperti menginstalkan ransomware atau aktivitas jahat lainnya. Anda perlu memastikan sistem anda selalu terupdate dan menginstal patch terbaru dan untuk mengamankan diri dengan baik, ada baiknya anda memastikan program antivirus anda memiliki perlindungan Exploit Protection yang akan mampu melindungi dari eksploitasi celah keamanan sekalipun sistem anda belum ditambal. (lihat gambar 3)
Gambar 3, Pastikan antivirus anda memiliki perlindungan Exploit Protection guna mencegah eksploitasi celah keamanan yang akan menginstal Ransomware

Sebagai catatan, selain Cryptowall, Angler Exploit Kit juga digunakan oleh pembuat ransomware lain seperti Alphacrypt dan Teslacrypt untuk menyebarkan dirinya.
Selain berhati-hati dan memilih aplikasi sekuriti dengan bijaksana, beberapa hal penting yang harus anda lakukan guna terhindar dari kerugian finansial dan operasional atas aksi ransomware adalah melakukan backup secara teratur dan simpan dalam media yang terpisah dan tidak bisa diakses secara langsung oleh komputer yang melakukan backup. Hindari melakukan open share dengan hal full sharing, karena akan memudahkan ransomware mengubah folder / file yang anda share.
Salam,


Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7AA
Cikini
Jakarta 10330
Ph : 021 3190 3800

Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom
Twitter : @vaksincom

Share by: