GovTech Kantor Staf Presiden

[Imbauan Keamanan] Ransomware RYUK

May 1, 2021

Akhir-akhir ini, ramai kembali terkait ancaman serangan Ransomeware yang sempat menghebohkan jagat maya Indonesia beberapa tahun silam dengan kasus terbajaknya banyak data Rumah Sakit oleh Ransomeware. Kali ini, Ransomeware berjenis TrickBot, RYUK sedang banyak menjangkiti perangkat komputer banyak pengguna. TrickBot yang merupakan malware berjenis trojan yang dikembangkan dan dioperasikan oleh sekelompok pelaku kejahatan siber yang sudah ahli. TrickBot pertama kali teridentifikasi di tahun 2016, dan pada mulanya dirancang sebagai banking Trojan untuk mencuri data keuangan. Namun TrickBot berkembang menjadi lebih kompleks dan canggih sehingga memungkinkan pengendalinya melakukan banyak aktivitas siber secara ilegal.

RYUK memanfaatkan celah Phising dan Social Engineering sebagai gerbang awal untuk menjangkiti perangkat korban. Himbauan mengenai hal tersebut telah sering kami sampaikan pada edisi Newsletter sebelumnya. Secara teknis, RYUK disebar oleh threat  actor dengan cara spearphishing menggunakan email yang berisi  lampiran  ataupun  tautan  (link)  berbahaya,  di  mana  ketika  diaktifkan  dapat  mengeksekusi malware. FBI dan CISA mendapati adanya email phishing yang menyatakan bahwa penerima email telah menjadi korban adanya anomali trafik yang bertujuan untuk mencuri informasi. Email tersebut berisi link yang mengarah pada website yang menjunjukan foto bukti adanya anomali trafik. Pada saat mengklik foto, korban tanpa sadar mengunduh file JavaScript berbahaya, dan ketika dibuka akan  secara  otomatis  terhubung  dengan  server  C2  dari threat  actor yang  kemudian  akan mengunduh TrickBot ke dalam sistem milik korban.

RYUK menggunakan serangan person-in-the-browser untuk mencuri informasi, seperti kredensial login. Beberapa modul TrickBot juga menyebarkan malware secara lateral antar jaringan dengan menyerang  protokol  Server  Message  Block  (SMB).  Operator  TrickBot  memiliki  seperangkat peralatan yang mampu menjangkau seluruh kerangka kerja (framework) MITRE ATT&CK. Mulai dari secara aktif maupun pasif mengumpulkan informasi yang dapat digunakan untuk memanipulasi, menginterupsi, atau bahkan merusak sistem dan data milik korban yang ditargetkan. TrickBot  mampu  melakukan  eksfiltrasi  data, cryptomining,  serta host   enumeration,  misal: pengintaian  firmware  Unified  Extensible  Firmware  Interface  or  Basic  Input/Output  System (UEFI/BIOS).  Untuk host  enumeration,  operator  TrickBot  akan  mengirimkan  modul  yang  berisi konfigurasi file dengan tugas-tugas spesifik.

Agar terhindar dari serangan RYUK, perhatikan kembali himbauan keamanan terkait Email Pishing dan Social engineering yang telah kami berikan.