.webp)
Cryptowall di sini adalah salah satu nama ransomware yang secara de facto dapat dikatakan sebagai raja ransomware 2015. Jika ransomware menjadi raja malware 2015, maka tidak salah jika Cryptowall menjadi salah satu raja di raja malware 2015.
Beberapa dasar mengapa Cryptowall pantas dinobatkan sebagai raja ransomware adalah karena ia memiliki sangat banyak varian (lebih dari 4.500), lebih dari 1.200 C&C (Command and Control) dengan usaha infeksi yang terdeteksi lebih dari 400.000 (hanya varian ketiga saja).
SCROLL TO CONTINUE WITH CONTENT
Ransomware adalah program jahat (malware) yang menjalankan aksinya dengan mengunci (enkrip) dokumen/file-file penting di komputer korbannya seperti file Office, foto, gambar, email dan backup dengan kunci rahasia yang hanya dimiliki oleh pembuat malware dan meminta pembayaran uang (biasanya Bitcoin) untuk membuka kembali file yang dikunci tersebut.
Raja Ransomware
Mengapa Cryptowall dinobatkan sebagai raja ransomware di tahun 2015? Hal ini terjadi karena aksi Cryptowall yang paling banyak memakan korban dibandingkan ransomware lain di seluruh dunia. Sampai November 2015 saja sudah ditemukan 4.546 varian cryptowall dan 1.213 C&C (command and control).
C&C adalah komputer/server yang digunakan untuk mengontrol ratusan ribu malware Cryptowall yang sedang menjalankan aksinya. C&C ini digunakan oleh pembuat malware guna mempersulit pihak berwajib melacak keberadaan pembuat malware yang sebenarnya ini. Cryptowall juga sudah ditemukan di 53 negara, termasuk Indonesia.
Sebagai catatan, sampai saat artikel ini dibuat, terdeteksi 324 varian Cryptowall dengan 13 C&C di Indonesia. Adapun beberapa C&C yang pernah terdeteksi dapat dilihat pada gambar 1 di bawah ini:
Β
Gambar 1: Command and Control Cryptowall yang terdeteksi oleh Cyberthreatalliance.
Beberapa situs Indonesia yang berhasil disusupi oleh Cryptowall adalah bhinnekaonline, patrakom, lakilaki.co.id dan katadata.com.
Secara jumlah C&C Indonesia termasuk dalam kategori rendah jika dibandingkan dengan negara tetangga, C&C Indonesia menempati peringkat ke-4 setelah Thailand (25), Vietnam (23) dan Singapura (15). Sedangkan negara tetangga lain seperti Malaysia (5) dan Australia (6) masih memiliki C&C di bawah Indonesia.
Namun Indonesia memiliki satu C&C di Bhinnekaonline yang menduduki peringkat 6 sebagai C&C yang paling banyak mengontrol sistem komputer yang terinfeksi Cryptowall di Indonesia, yaitu sebanyak 56 sistem.
Β
Gambar 2: Salah satu C&C Indonesia sempat mengontrol 56 sistem komputer yang terinfeksi Cryptowall.
Metode Penyebaran yang Berubah
Metode awal yang digunakan oleh Cryptowall untuk menyebarkan dirinya adalah melalui lampiran email phishing yang akan menggunakan nama acak seperti:
β¦ internal_31572.scr
β¦ internal_04531572
β¦ internal_A8392J-DNGE82-378251-238375.scr
β¦ invoice_285699291.scr
β¦ VOICE8419.scr
β¦ FAX-id123912481712931.scr
β¦ fax-message942-758-273.scr
β¦ credit_application.exe
Jika diperhatikan, ekstensi yang digunakan adalah ekstensi .exe dan .scr yang seharusnya dapat dihentikan oleh mailserver karena bentuknya executable (bisa dijalankan) yang umumnya diblok oleh mailserver.
Tetapi rupanya pembuat malware ini cukup cerdik melakukan kompresi/zip pada lampiran yang dikirimkan melalui email sehingga lampiran tersebut akan tetap diteruskan oleh mailserver. Di sinilah pentingnya memiliki program antivirus yang mampu mendeteksi malware yang disembunyikan dalam laimpiran terkompres seperti .zip.
Pada kuartal pertama 2015, perbandingan penyebaran Cryptowall adalah 67,5 % phishing email dan 30,7 % exploit kit. Namun, kelihatannya pembuat Cryptowall ini mengevaluasi metode phishing email yang digunakannya kurang efektif dan metode penyebaran melalui exploit kit lebih efektif sehingga mengubah metode penyebarannya denga memfokuskan pada exploit kit dan metode penyebaran melalui phishing email menurun menjadi 14β15 % setelah April 2015.
Adapun exploit kit yang paling sering digunakan untuk menyebarkan Cryptowall adalah Angler Exploit Kit.
Exploit kit adalah piranti lunak (software) yang didesain untuk dijalankan pada web server dengan tujuan untuk mendeteksi celah keamanan software pada komputer-komputer yang terkoneksi kepadanya. Lalu ia akan mengeksploitasi celah keamanan yang ditemukan dengan mengirimkan dan menjalankan kode jahat yang telah dipersiapkan ke komputer korban/kliennya.
Sedangkan Angler Exploit Kit adalah salah satu exploit kit canggih yang sering digunakan untuk aktivitas kriminal dan diperjualbelikan pada pasar penjualan software tidak resmi (underground market). Ia memiliki kemampuan menyuntikkan kode eksploitasi langsung ke memori komputer korbannya tanpa perlu menulis/mengkopi ke harddisk.
Pengiriman kode eksploitasi itu sendiri dilakukan dalam jalur komunikasi yang terenkripsi, berarti tidak akan bisa di deteksi oleh program antivirus. Salah satu celah keamanan yang menjadi incaran favorit Angler adalah Flash, namun pembuat Angler ini sangat reponsif dan sangat cepat mengadopsi celah keamanan baru ke dalam Angler Exploit Kit ini.
Dalam dunia nyata, jika anda membuka situs pada server yang mengandung Angler Exploit Kit, maka ia akan secara otomatis memeriksa sistem komputer anda guna mendapatkan celah keamanan dan melakukan eksploitasi dengan mengirimkan kode jahat untuk menguasai sistem anda seperti menginstalkan ransomware atau aktivitas jahat lainnya.
Anda perlu memastikan sistem anda selalu terupdate dan menginstal patch terbaru dan untuk mengamankan diri dengan baik, ada baiknya anda memastikan program antivirus anda memiliki perlindungan Exploit Protection yang akan mampu melindungi dari eksploitasi celah keamanan sekalipun sistem anda belum ditambal. (lihat gambar 3)
Gambar 3: Pastikan antivirus Anda memiliki perlindungan Exploit Protection guna mencegah eksploitasi celah keamanan yang akan menginstal Ransomware.
Sebagai catatan, selain Cryptowall, Angler Exploit Kit juga digunakan oleh pembuat ransomware lain seperti Alphacrypt dan Teslacrypt untuk menyebarkan dirinya.
Selain berhati-hati dan memilih aplikasi sekuriti dengan bijaksana, beberapa hal penting yang harus anda lakukan guna terhindar dari kerugian finansial dan operasional atas aksi ransomware adalah melakukan backup secara teratur dan simpan dalam media yang terpisah dan tidak bisa diakses secara langsung oleh komputer yang melakukan backup.
Hindari melakukan open share dengan hal full sharing, karena akan memudahkan Ransomware mengubah folder/file yang Anda share.
(ash/ash)
Tautan telah disalin