Waspada serangan BadRabbit

JAKARTA (IndoTelko) - Ransomware baru yang disebut BadRabbit (Ransom.BadRabbit) mulai menyebar sejak Selasa  24 Oktober 2017, dengan sebagian besar upaya serangan terlihat di Rusia.

Namun, karena BadRabbit ini bisa memperbanyak diri sendiri dan dapat menyebar ke seluruh jaringan perusahaan, maka organisasi harus tetap waspada.

Cara penyebaran
Metode infeksi berawal dari pengunduhan yang tidak disadari pada situs web yang sudah tersusupi. Malware tersebut menyamar sebagai update palsu Adobe Flash Player. Pengunduhan berasal dari domain bernama 1dnscontrol[dot]com, meskipun para pengunjung mungkin diarahkan ke situs web lain yang juga berbahaya.

Setelah terinstal di komputer korban, BadRabbit mencoba menyebarkan diri di jaringan mereka melalui SMB (Server Message Block).

Untuk mendapatkan kredensial yang diperlukan, BadRabbit dilengkapi dengan versi Mimikatz (Hacktool.Mimikatz), tool perentasan yang mampu mengubah privilege dan menemukan kata kunci Windows dalam bentuk plaintext. Malware ini juga menggunakan daftar hardcoded dari kredensial default yang umum digunakan untuk mencoba menebak kata kunci.

Symantec tidak menemukan bukti bahwa BadRabbit mengeksploitasi kerentanan untuk memperbanyak diri.

Para Korban
BadRabbit pertama kali mulai menyebar sekitar pukul 10 pagi UTC tanggal 24 Oktober. Telemetri Symantec menunjukkan bahwa sebagian besar upaya infeksi terjadi di Rusia dalam dua jam setelah serangan pertama kali muncul.

Jumlah kecil upaya infeksi terjadi di beberapa negara lain. CERT-UA, Ukrainian Computer Emergency Response Team, mengatakan telah terjadi “distribusi besar-besaran” BadRabbit di Ukraina. Sebelumnya,  buletin dari agensi tersebut menyebutkan bahwa bandara Odessa dan kereta bawah tanah Kiev mendapatkan serangan siber, namun tidak disebutkan keterlibatan BadRabbit dalam serangan tersebut.

Perbandingan dengan Petya
BadRabbit memiliki banyak kesamaan dengan serangan Petya (Ransom.Petya)  yang terjadi pada bulan Juni 2017 lalu. Kedua jenis malware ini menggunakan gaya serangan yang meminta tebusan dan menggunakan mekanisme penyebaran sendiri. Kedua ancaman tersebut juga mengandung komponen yang menargetkan master boot record (MBR) komputer yang terinfeksi, menimpa MBR yang sudah ada.

Perbedaannya adalah, pertama, Petya menggunakan eksploitasi EternalBlue untuk menyebar, selain menggunakan teknik penyebaran jaringan SMB klasik. BadRabbit tidak menggunakan EternalBlue dan hanya menggunakan teknik yang terakhir.

Kedua, Petya secara teknis merupakan wiper dibanding ransomware, karena tidak ada cara untuk memperoleh kunci dekripsi. Analisa Symantec terhadap BadRabbit masih berlangsung namun belum menemukan bukti yang menunjukkan bahwa BadRabbit bergerak seperti wiper.

Salah satu aspek yang paling menonjol dari BadRabbit adalah penggunaan setidaknya tiga tool open-source pihak ketiga. Selain dari Mimikatz, BadRabbit juga menggunakan tool enkripsi open source DiskCryptor untuk melakukan enkripsi. Mereka juga menggunakan driver dari ReactOS, sebuah open-source alternatif untuk Windows, sehingga mengurangi jumlah aktivitas mencurigakan yang terdeteksi pada komputer yang terinfeksi.

Ransomware BadRabbit menggunakan setidaknya tiga tool open-source pihak ketiga  Enkripsi

Setelah terinstal, BadRabbit akan mencari dan mengenkripsi semua file dengan kode-kode ekstensi,  

Tidak seperti kebanyakan infeksi serangan ransomware lainnya, file yang dienkripsi tidak diberi ekstensi khusus. Sebagai gantinya, untuk memeriksa apakah sudah diproses, ransomware ini menambahkan tanda khusus di akhir file terenkripsi, deretan “terenkripsi” unicode.

Setelah file korban terenkripsi, BadRabbit kemudian akan melakukan enkripsi disk penuh. Setelah sistem di-restart, catatan tebusan ditampilkan, menagih tebusan sebesar 0,05 Bitcoin (sekitar US$280).

Waspadalah
Khususnya perusahaan rentan terhadap ancaman seperti BadRabbit karena mekanisme infeksi yang mereka gunakan. Ketika satu komputer dalam jaringan terinfeksi, BadRabbit akan mencoba untuk menggandakan dirinya ke komputer lain di jaringan yang sama, yang berpotensi merusak jaringan yang tingkat keamanannya rendah.

Meskipun tampaknya ancaman tersebut sebagian besar terjadi di Rusia saja untuk saat ini, namun perusahaan lain harus tetap waspada terhadap bahaya dari ancamannya tersebut dan memastikan bahwa mereka terlindungi.(pg)