Jakarta, PCplus – Tim Tanggap Darurat Global Kaspersky (Kaspersky’s Global Emergency Response Team) berhasil mengidentifikasi ransomware baru yang disebut “Ymir”. Ransomware ini menggunakan metode enkripsi dan penyamaran canggih. Serta secara selektif menargetkan file dan berusaha menghindari deteksi. Ymir memperkenalkan kombinasi unik fitur teknis dan taktik yang meningkatkan efektivitasnya.
Baca Juga: Ransomware Cuba Si Penyebar Malware Berulah – PCplus Live
Teknik manipulasi memori yang tidak biasa untuk penyamaran.
Pelaku ancaman menggunakan campuran fungsi manajemen memori yang tidak konvensional – malloc, memmove, dan memcmp – untuk menjalankan kode berbahaya langsung di dalam memori. Pendekatan ini berbeda dari alur eksekusi sistematis yang biasa terlihat pada jenis ransomware lainnya. Selain itu, Ymir sangat fleksibel. Dengan menggunakan perintah –path, penyerang dapat menentukan direktori tempat ransomware harus mencari file. Jika file ada dalam daftar putih, ransomware akan melewatinya dan membiarkannya tidak terenkripsi. Fitur ini memberi penyerang kontrol lebih besar atas apa yang dienkripsi atau tidak.
Penggunaan malware pencuri data
Dalam serangan yang diamati oleh para ahli Kaspersky di sebuah organisasi di Kolombia, pelaku kejahatan siber menggunakan RustyStealer. Ini adalah sejenis malware yang mencuri informasi, untuk mendapatkan kredensial perusahaan dari karyawan. Informasi ini kemudian digunakan untuk mendapatkan akses ke sistem organisasi. Lalu mempertahankan kendali cukup lama untuk menyebarkan ransomware. Jenis serangan ini dikenal sebagai perantara akses awal. Di mana penyerang menyusup ke dalam sistem dan mempertahankan akses.
Biasanya, perantara akses awal menjual akses yang mereka peroleh di dark web kepada pelaku kejahatan siber lainnya. Tetapi dalam kasus ini, mereka tampaknya melanjutkan serangan itu sendiri dengan menyebarkan ransomware. “Jika perantara tersebut memang pelaku yang sama yang menyebarkan ransomware, ini bisa menjadi sinyal tren baru, yang menciptakan opsi pembajakan tambahan tanpa ketergantungan pada kelompok Ransomware-as-a-Service (RaaS) tradisional,” jelas Cristian Souza, Spesialis Respons Insiden di Kaspersky Global Emergency Response Team.
Algoritma enkripsi canggih.
Ransomware ini menggunakan ChaCha20, sebuah stream cipher modern yang dikenal karena kecepatan dan keamanannya, bahkan mengungguli Advanced Encryption Standard (AES).
Meskipun pelaku ancaman di balik serangan ini belum membagikan data curian apa pun secara publik atau mengajukan tuntutan lebih lanjut, para peneliti memantaunya secara ketat untuk setiap aktivitas baru. “Kami belum mengamati adanya kelompok ransomware baru yang muncul di dark web. Biasanya, penyerang menggunakan forum atau portal bayangan untuk membocorkan informasi sebagai cara untuk menekan korban agar membayar tebusan. Namun ini tidak terjadi pada Ymir. Mengingat hal ini, pertanyaan tentang kelompok mana yang berada di balik ransomware tersebut masih belum ditemukan. Dan kami menduga ini mungkin merupakan kampanye baru,” jelas Souza.
Untuk mencari nama bagi ancaman baru tersebut, para ahli Kaspersky mempertimbangkan bulan Saturnus yang disebut Ymir. Itu adalah bulan “tidak beraturan” yang bergerak berlawanan arah dengan rotasi planet tersebut. Suatu sifat yang secara menarik menyerupai perpaduan fungsi manajemen memori yang tidak konvensional yang digunakan dalam ransomware baru tersebut.
Tips menghindari Ransomware Ymir
Produk Kaspersky kini dapat mendeteksi ransomware ini sebagai Trojan-Ransom.Win64.Ymir.gen. Para ahli perusahaan merekomendasikan langkah-langkah umum berikut untuk mengurangi risiko serangan ransomware. Ini dia beberapa diantaranya
- Terapkan jadwal pencadangan data yang sering dan lakukan pengujian rutin.
- Berikan pelatihan keamanan siber rutin kepada karyawan untuk meningkatkan kewaspadaan mereka terhadap ancaman siber seperti malware pencuri data, dan untuk mengajarkan strategi mitigasi yang efektif.
- Jika kamu telah menjadi korban ransomware dan belum ada dekripsi yang diketahui, simpan file terenkripsi penting kamu. Solusi dekripsi dapat muncul dalam upaya penelitian ancaman yang sedang berlangsung atau jika pihak berwenang berhasil menguasai pelaku di balik ancaman tersebut.
- Sebaiknya jangan membayar tebusan. Membayar tebusan akan mendorong pembuat malware untuk melanjutkan operasi mereka, tetapi tidak menjamin pengembalian file yang aman dan andal.
- Untuk melindungi perusahaan dari berbagai ancaman, gunakan solusi dari lini produk Kaspersky Next yang memberikan perlindungan waktu nyata, visibilitas ancaman, investigasi, dan kemampuan respons EDR dan XDR untuk organisasi dengan ukuran dan industri apa pun. Bergantung pada kebutuhan kamu saat ini dan sumber daya yang tersedia, kamu dapat memilih tingkatan produk yang paling relevan, dengan fleksibilitas saat bermigrasi ke tingkatan lain seiring dengan perkembangan kebutuhan keamanan siber kamu. Kurangi permukaan serangan kamu dengan menonaktifkan layanan dan port yang tidak digunakan.
- Terapkan layanan keamanan terkelola oleh Kaspersky seperti Compromise Assessment, Managed Detection and Response (MDR) dan/atau Incident Response, yang mencakup seluruh siklus manajemen insiden—mulai dari identifikasi ancaman hingga perlindungan dan perbaikan berkelanjutan. Layanan ini membantu melindungi dari serangan siber yang sulit dideteksi, menyelidiki insiden, dan mendapatkan keahlian tambahan meskipun perusahaan kekurangan pekerja keamanan.
Buat kalian yang mau tahu lebih detil tentang ransomware ini, bisa mengujungi situs securelist.com