Evaluasi Malware 2016 Ransomware War

19 Desember  2016
Evaluasi Malware 2016 (1 of 2)
Ransomware War
Melanjutkan keberhasilannya sebagai malware nomor satu di tahun 2015, ransomware dapat dipastikan mempertahankan tahtanya menjadi raja malware Indonesia di tahun 2016. Sebagai gambaran, dari bulan Januari – Maret 2016 saja terjadi peningkatan aktivitas server penyebar ransomware sebanyak 21 kali lipat di Indonesia, dari hanya 22 server aktif menjadi 461 server yang aktif mengirimkan ransomware.
Namun aktor ransomware di tahun 2016 jauh lebih canggih dibandingkan dengan tahun 2015 dimana jika tahun 2015 raja ransomware adalah Cryptowall. Pada kuartal pertama tahun 2016 ia menjadi “anak bawang” karena hanya mengambil kue sebesar 3,47 % dari keseluruhan infeksi ransomware dibandingkan dengan Teslacrypt 31,89 % atau Locky yang mencapai 54,66 %. (lihat gambar 1)
Gambar 1, Statistik Ransowmare Q1, 2016

Namun, terjadi anomali pada pertengahan tahun 2016 dimana mendadak pembuat Teslacrypt yang sedang berada di puncak kejayaannya mendadak insyaf dan menghentikan aksi penyebaran dirinya. Tidak cukup menghentikan aksinya, pembuat Teslacrypt bahkan memberikan kunci dekripsi untuk semua ransomware Teslacrypt 3.0 dan 4.0 dengan memberikan kunci master untuk membuka (dekripsi) data dari semua komputer yang dienkripsi oleh kedua versi Teslacrypt tersebut. (lihat gambar 2)
Gambar 2, Pembuat Teslacrypt insyaf dan memberikan kunci dekripsi untuk semua korban Teslacrypt 3.0 dan 4.0

Ibarat dunia mafia, dimana jika satu pemimpin mafia besar berhasil ditangkap biasanya akan mengakibatkan guncangan pada organisasi tersebut. Namun hal ini tidak serta merta mematikan organisasi mafia yang dipimpinnya karena dalam waktu singkat biasanya muncul figur mafia lain yang menggantikan posisinya dan meneruskan bisnis mafia yang menggiurkan tersebut. Salah satu cara yang efektif membasmi mafia adalah menghilangkan motivasi pendirian organisasi mafia tersebut. Di dunia ransomware, mundurnya Teslacrypt yang merupakan salah satu pemain besar dari percaturan ransomware di bulan Mei 2016 sempat membuat guncangan dan menurunkan serangan ransomware secara signifikan pada bulan Juni 2016 dimana pada bulan Mei 2016 terdeteksi 338 server ransomware yang aktif dan di bulan Juni mengalami penurunan sebanyak 74 % menjadi hanya 89 server. Para penggiat sekuriti sempat bergembira melihat perkembangan positif ini, namun keuntungan finansial besar yang memotivasi penyebaran ransomware ini segera menciptakan pemain baru dan celakanya, di bulan Juli 2016 terjadi peningkatan luar biasa dalam penyebaran ransomware dan server penyebar ransomware yang terpantau mengalami peningkatan luarbiasa. Bukan saja melampaui bulan Juni, bulan Juli bahkan menjadi bulan dengan aktivitas server ransomware aktif tertinggi di tahun 2016 mengalahkan bulan Mei 2016 dengan server penyebar ransomware mencapai 778 server, yang terdiri dari server botnet, server pembayaran dan server distribusi. Sedangkan jenis ransomware yang menggantikan posisi Teslacrypt sekarang dipegang oleh Locky dan ditempel ketat oleh Cerber, ransomware yang kemudian akan bermutasi dan menjadi raja marketing ransomware 2016 karena mengadopsi sistem RaaS Ransomware as a Services dalam menyebarkan dirinya.
Selain Locky dan Cerber, ada satu pemain baru di kancah penyebaran ransomware Indonesia dan disinyalir merupakan saudara jauh dari Locky. Jika Locky akan memberikan ekstensi “.locky” pada data yang dienkripsinya, maka Zepto juga akan melakukan hal yang sama dimana file korbannya akan dienkripsi dan mendapatkan ekstensi “.zepto”. (lihat gambar 3)
Gambar 3, File yang dienkripsi oleh zepto

Metode penyebaran yang digunakan masih mengandalkan email dengan lampiran .zip dan file docm (MS Word Macro). Kunci keberhasilan penyebaram zepto adalah rekayasa sosial pada email yang dikirimkannya dimana ia akan mengirimkan dirinya “seakan-akan” sebagai tagihan dalam bentuk file Excel yang mengandung macro. Namun, jika diperhatikan dengan teliti file yang dikirimkan sebenarnya bukan excel, melainkan file MS Word macro berekstensi ganda (lihat gambar 4)
Gambar 5, Peringatan aktivasi Macro MS Word yang memalsukan diri sebagai file Excel dengan teknik ekstensi ganda

Cerber atau Cerberus adalah makhluk mitologi Yunani kuno yang digambarkan sebagai makhluk yang memiliki 3 kepala anjing dengan ekor ular berbisa yang bertugas menjaga pintu neraka yang dihuni oleh Hades dan arwah-arwah yang ditempatkan di neraka. Mungkin pembuat ransomware cerber ini ingin merepresentasikan diri mereka dengan kebuasan cerber sehingga korbannya bertekuk lutut dan membayar uang tebusan yang dipakai. Namun kelakuan Cerber yang sangat cepat berganti varian dan saat artikel ini di tulis sudah mencapai versi Cerber 3 lebih mengingatkan pada tahun 1980-an dimana saat itu ada Cergam Cerita Bergambar dan Cerber Cerita Bersambung yang digandrungi remaja pada masanya. Kurang berhasil dengan cerber 1 dan 2 karena berhasil enkripsinya dieksploitasi oleh perusahaan sekuriti Israel: Checkpoint, pembuat Cerber ini langsung memperbaiki celah keamanan yang di eksploitasi oleh Checkpoint dan mengeluarkan Cerber 3. Kabar buruknya, Cerber 3 ini sampai saat ini belum bisa dipecahkan dan data yang dienkripsi oleh Cerber 3 tidak bisa di dekirpsi tanpa membayar ransomware yang diminta.
Dibandingkan dengan ransowmare lain, Cerber merupakan ransomware yang sadar marketing seperti menyediakan terjemahan permintaan tebusan dalam berbagai bahasa (lihat gambar 6)
Gambar 6, Permintaan tebusan Cerber dalam 12 bahasa yang diterjemahkan dengan sangat baik dan profesional

dan memiliki satu kelebihan yang tidak dimiliki ransomware lain, dimana ia menyebarkan dirinya menggunakan metode SaaS Software as a Services atau lebih tepatnya RaaS Ransomware as a Services. SaaS adalah trend teranyar dalam dunia piranti lunak yang memanfaatkan teknologi cloud dimana jika selama ini sistem penjualan piranti lunak dijual putus namun dengan keterbatasan seperti jika terjadi pergantian versi harus membeli kembali. Dengan sistem SaaS ini piranti lunak dijual sebagai layanan dimana konsumen membayar biaya sewa piranti lunak per periode (eg : bulanan) dan mereka berhak menggunakan piranti lunak terbaru tanpa perlu membeli lagi. Sebagai contoh SaaS adalah Microsoft Office 360 yang berbayar atau Google Docs yang dapat dinikmati secara gratis.
Banyak manfaat dari layanan cloud ini dimaksimalkan oleh Cerber dalam menyebarkan dirinya. Salah satu hambatan dalam penyebaran malware (ransomware) adalah hambatan kurangnya pengetahuan, pengalaman dan akses ke jaringan infrastruktur yang handal, rumit dan aman untuk menyebarkan ransomware. Padahal secara bisnis ransomware ini sangat menguntungkan, dibuat satu kali tetapi bisa mendapatkan keuntungan berkali-kali. Selama ini hanya programmer berpengalaman saja yang mampu menikmati keuntungan besar dari menyebarkan ransomware. Dengan Cerber, programmer pemula sekalipun dengan mudah berhubungan dengan pembuat ransomware ini pada forum rahasia / underground. Dengan hanya membayar sejumlah kecil uang, programmer pemula ini akan mendapatkan varian ransomware yang tidak terdeteksi dan ia juga mendapatkan menu tatap muka yang mudah digunakan. Sebagai catatan, Cerber sempat memiliki 161 afiliasi yang menjalankan aksinya dan berhasil menginfeksi 150.000 korban dengan keuntungan sekitar Rp. 2,5 milyar pada hanya bulan Juli 2016.
Sistem pembagian hasil yang dilakukan Cerber juga cukup murah hati sehingga mudah mendapatkan afiliasi dimana pihak penyebar mendapatkan persentase keuntungan yang lebih besar dari pembuat Cerber ini sendiri. Namun jika digabungkan penghasilan dari seluruh afiliasi, pembuat Cerber ini mendapatkan nominal keuntungan terbesar. Dengan cara ini, pembuat Cerber memiliki kemampuan penyebaran ransomware yang tinggi dengan resiko dan biaya operasional yang rendah karena biaya operasional seperti penyebaran, support dan pemberian kunci dekripsi dilakukan oleh pihak afiliasi / kaki tangannya. Guna menghindari penangkapan oleh pihak berwajib Cerber seperti ransomware lainnya mengoptimalkan penggunaan TOR The Onion Router dalam komunikasi dan sistem pembayaran Bitcoin yang telah disempurnakan dimana setiap korban ransomware akan mendapatkan alamat Bitcoin unik sehingga lebih sulit dilacak dibandingkan satu alamat Bitcoin untuk semua pembayaran ransomware seperti yang digunakan oleh ransomware terdahulu.

Varian terakhir dari ransomware yang mengganas di tahun 2016 adalah Odin, yang jika diperhatikan memang memiliki kaitan dengan Locky (ayah tiri Locky pada cerita superhero Thor). Varian ini berhasil menyempurnakan eksploitasi pada Microsoft Excel dimana jika pada varian Zepto sebenarnya mengeksploitasi Word Macro dan hanya memalsukan disi dengan ekstensi ganda sebagai file Excel palsu. Maka pada varian Odin ransomware Locky ini berhasil mengeksploitasi celah keamanan Excel Macro secara langsung tanpa melibatkan Word Macro. Hal ini secara tidak langsung meningkatkan keberhasilan penetrasi ransomware karena dibandingkan dengan MS Word, aplikasi MS Excel memang lebih banyak menggunakan Macro dalam otomatis operasi kalkulasinya dan banyak memakan korban pengguna komputer dari bagian keuangan / finance.
Salam,

Alfons Tanujaya
info@vaksin.com
 
PT. Vaksincom
Jl. R.P. Soeroso 7AA
Cikini
Jakarta 10330
Ph : 021 3190 3800

Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom
Twitter : @vaksincom
Share by: