dakwatuna.com – Ransomware serupa dengan malware lainnya dalam hal dirinya menginstall diri sendiri ke dalam sebuah komputer dan berjalan di background tanpa sepengetahuan pengguna. Tapi tidak seperti malware yang menyembunyikan dan mencuri informasi berharga, ransomware tidak menyembunyikannya. Seketika setelah ransomware mengunci mesin (komputer) dan/atau file milik seseorang, ransomware tersebut akan memberitahu pengguna mengenai kehadirannya untuk meminta uang tebusan (ransom).
Sebuah contoh bagaimana ransomware bekerja
Ini adalah contoh tahapan dari serangan “kuncian” yang berasal dari sebuah email phishing (klik gambar untuk memperbesar).
1. Pengguna menerima sebuah email yang seakan-akan seperti dari bos mereka.
Isinya mengandung URL ke sebuah aplikasi SaaS (software as a service) atau software layanan, seperti Salesforce, Workday, atau Zendesk.
2. Link membuka sebuah window browser dan mengarahkan pengguna ke sebuah website yang tampak valid.
Sebenarnya website yang dibuka tersebut adalah halaman landing untuk sebuah exploit kit yang dihosting di sebuah website yang memiliki top level domain (TLD) co.cc.
3. Saat membuka halaman, web server yang menyimpan exploit kit mulai berkomunikasi dengan mesin (komputer) korban.
Server mengirim permintaan tentang versi dari software seperti Java untuk menemukan versi kerentanan sehingga dapat diputuskan exploit kit mana yang akan digunakan.
4. Ketika sebuah versi kerentanan terkonfirmasi, exploit kit mencoba untuk memanfaatkan kerentanan tersebut.
Setelah berhasil, exploit kit mengirim sebuah file .EXE (biner) berbahaya – sebut saja “ransomware.exe”. Biner berbahaya pada mesin korban tersebut lalu mencoba untuk mengeksekusi.
5. Dari tahap ini, biner tersebut melakukan proses pengembangbiakan, termasuk vssadmin.exe (salinan bayangan), untuk menghapus bayangan yang sudah ada di mesin korban dan membuat yang baru untuk disembunyikan.
Pelaku serangan melakukan hal ini untuk membatasi kemungkinan pemulihan file oleh korban dengan menggunakan salinan bayangan yang disimpan oleh Windows pada sebuah sistem.
6. Biner tersebut juga membuat PowerShell yang dapat dieksekusi (sebut saja powershell.exe) untuk menyebarkan salinan dirinya ke seluruh filesystem.
PowerShell tersebut juga mencari filesystem berupa file dengan ekstensi tertentu dan mulai mengenkripsi file-file tersebut.
7. Proses turunan dari powershell.exe membuat 3 salinan dari file biner malware, pertama di folder AppData, lalu di folder Start, dan terakhir di folder C:\.
Ketiga salinan tersebut digunakan bersamaan dengan modifikasi registry dengan tujuan untuk memulai malware saat proses reboot dan login.
8. Setelah mengenkripsi file korban, malware mengirimkan kunci enkripsi dan informasi host tertentu lainnya ke server “command-and-control” milik pelaku.
9. Kemudian server mengirimkan pesan ke korban. Secara sederhana, pesan tersebut berisi tentang “peringatan ke pengguna tentang enkripsi dan petunjuk sederhana untuk membayar kami”. Hal ini juga termasuk petunjuk tertentu yang mengakibatkan terjadinya download malware tambahan, yang memungkinkan pelaku penyerangan juga mencuri kredensial dari korban.
Untuk menambah penderitaan korban, kadang kala ransomware juga menyertakan jam hitung mundur dengan tenggat waktu tertentu untuk membayar uang tebusan – atau kunci dekripsi akan dihancurkan, sehingga menghilangkan kesempatan untuk pemulihan.
Membayar uang tebusan sering kali berarti pelaku serangan akan membuka kunci mesin korban atau memberikan kunci untuk dekripsi. Namun, kadang kala biner berbahaya yang merupakan sumber ransomware, “ransomware.exe” dalam kasus di atas, telah dihapus. Hal ini membutuhkan dukungan petugas IT dan keamanan digital.
Dan serangan tidak selalu berhenti di sini. Pelaku serangan sering kali memuat malware tambahan di mesin (komputer) pengguna, yang memungkinkan mereka mengumpulkan informasi pribadi, kekayaan intelektual, dan kredensial untuk dijual demi pendapatan tambahan. (dakwatuna.com/hdn)
Terjemahan bebas dari : “How Does Ransomware Work?” oleh Ryan Murphy.
Redaktur: Ardne
Beri Nilai: