 |
| Ilustrasi | Foto: freepik.com |
BorneoTribun - Bandit ransomware DopplePaymer kembali lagi terlihat di alam liar setelah beberapa waktu tak beraktivitas, demikian pelacakan dua perusahaan keamanan siber. Geng tersebut membuat branding baru di bawah nama “Grief” (aka Pay or Grief). Tidak jelas apakah pengembang yang sama masih berada di balik operasi nama baru ini atau tidak.
Ransomware ini masih berbentuk Ransomware-as-a-Service (Raas) yaitu perangkat lunak jahat yang disewakan sehingga serangan siber belum tentu dilakukan oleh pembuat aslinya, tapi dilakukan oleh afiliasi. DopplePaymer menurun sejak medio Mei lalu atau sekitar sepekan setelah perusahaan operator pipa bahan bakar AS, Colonial Pipeline, didera ransomware.
Peneliti keamanan siber dari Emsisoft, Fabian Wosar, mengatakan, baik DopplePaymer maupun Grief memberikan format file enkripsi yang sama, bahkan menggunakan saluran distribusi serupa, yaitu botnet “Dridex”. “Kesamaan Grief dengan DopplePaymer sangat mencolok sehingga hubungan antara keduanya tidak mungkin untuk diabaikan,” ujar Wosar kepada BleepingComputer, diakses Senin (2 Agustus 2021).
Aktivitas Grief terlacak pada awal Juni lalu ketika sebuah sampel ditemukan sebuah operasi baru. Sementara, perusahaan keamanan cloud, Zscaler, juga turut menganalisis sampel awal ransomware Grief, termasuk memperhatikan catatan tebusan yang disematkan di sistem korban. Hasilnya, terdapat portal yang mengarahkan ke situs web DoppelPaymer. “Ini menunjukkan bahwa pembuat malware mungkin masih dalam proses mengembangkan portal tebusan Grief.
Kelompok ransomware memang sering mengubah nama malware sebagai pengalih perhatian,” ujar Zscaler. Kesamaan lain ialah pemakaian kode CAPTCHA di situs webnya, lalu pemakaian algoritma enkripsi yang identik (RSA 2048-bit dan AES 256-bit), import hashing, dan entry point offset calculation. Yang menarik lagi, keduanya menggunakan regulasi perlindungan data pribadi Eropa (GDPR) sebagai ancaman bahwa korban yang tidak membayar masih harus menghadapi hukuman karena pelanggaran data.
Untuk perbedaan, peneliti memandang tak terlalu signifikan dan hanya bersifat “kosmetik” sebagai pengelabuan. Misal, Grief menggunakan alat pembayaran Monero dibandingkan Bitcoin.
Lalu, Grief memakai istilah “kesedihan” (griefs) sebagai data korban di situs webnya baik sebagai bukti peretasan (griefs in progress) atau sebagai hukuman karena tidak membayar uang tebusan (complete griefs). “Saat ini ada lebih dari dua lusin korban yang terdaftar di situs kebocoran Grief. Ini menunjukkan bahwa aktor ancaman ini mulai aktif dengan nama barunya.
Mereka mengklaim menyerang Pemkot Thessaloniki, Yunani dan menerbitkan arsip file sebagai bukti penyusupan,” tulis BleepingComputer. Berikut kode dari hasil enkripsi yang dipakai oleh Grief yang ditemukan oleh Zscaler:
*BACA BERITA TERKINI LAINNYA DI GOOGLE NEWS