Credit image: Dreamina
Geng ransomware semakin banyak menggunakan malware baru bernama Skitnet (“Bossnet”) untuk melakukan aktivitas pasca-eksploitasi secara diam-diam pada jaringan yang diretas.
Malware tersebut telah ditawarkan untuk dijual di forum bawah tanah seperti RAMP sejak April 2024, tetapi menurut peneliti, Malware tersebut mulai mendapatkan daya tarik yang signifikan di antara geng ransomware sejak awal 2025.
Peneliti mengatakan bahwa mereka telah mengamati beberapa operasi ransomware yang menggunakan Skitnet dalam serangan dunia nyata, termasuk BlackBasta dalam serangan phising Microsoft Teams terhadap perusahaan, dan Cactus.
|
Baca juga: 3 Entitas yang Menyebabkan Serangan Siber Semakin Canggih |
Backdoor yang Tersembunyi dan Kuat
Infeksi Skitnet dimulai dengan loader berbasis Rust yang dijatuhkan dan dijalankan pada sistem target, yang mendekripsi biner Nim terenkripsi ChaCha20 dan memuatnya ke dalam memori.
Muatan Nim membentuk shell terbalik berbasis DNS untuk komunikasi dengan server perintah dan kontrol (C2), memulai sesi dengan kueri DNS acak.
Malware memulai tiga untaian, satu untuk mengirim permintaan DNS detak jantung, satu untuk memantau dan mengekstraksi keluaran shell, dan satu untuk mendengarkan dan mendekripsi perintah dari respons DNS.
Komunikasi dan perintah yang akan dieksekusi dikirim melalui HTTP atau DNS, berdasarkan perintah yang dikeluarkan melalui panel kontrol Skitnet C2. Panel C2 memungkinkan operator melihat IP target, lokasi, status, dan mengeluarkan perintah untuk dieksekusi.
|
Baca juga: Pengguna iPhone Kebal Serangan Siber |
Perintah yang Didukung
- Startup – Menetapkan persistensi dengan mengunduh tiga file (termasuk DLL berbahaya) dan membuat pintasan ke executable Asus yang sah (ISP.exe) di folder Startup. Ini memicu pembajakan DLL yang mengeksekusi skrip PowerShell (pas.ps1) untuk komunikasi C2 yang sedang berlangsung.
- Screen – Mengambil tangkapan layar desktop korban menggunakan PowerShell, mengunggahnya ke Imgur, dan mengirimkan URL gambar kembali ke server C2.
- Anydesk – Mengunduh dan menginstal AnyDesk secara diam-diam, alat akses jarak jauh yang sah, sambil menyembunyikan ikon jendela dan baki notifikasi.
- Rutserv – Mengunduh dan menginstal RUT-Serv secara diam-diam, alat akses jarak jauh sah lainnya.
- Shell – Memulai putaran perintah PowerShell. Mengirim pesan awal “Shell started..”, lalu berulang kali melakukan polling (?m) ke server setiap 5 detik untuk perintah baru yang dieksekusi menggunakan Invoke-Expression, dan mengirimkan hasilnya kembali.
- Av – Menghitung perangkat lunak antivirus dan keamanan yang terinstal dengan menanyakan WMI (SELECT * FROM AntiVirusProduct di namespace root\SecurityCenter2). Mengirim hasil ke server C2.
Selain rangkaian perintah inti, operator juga dapat memanfaatkan kemampuan terpisah yang melibatkan pemuat .NET, yang memungkinkan mereka mengeksekusi skrip PowerShell dalam memori, untuk kustomisasi serangan yang lebih mendalam.
Meskipun kelompok ransomware sering menggunakan alat khusus yang dirancang untuk operasi tertentu dan memiliki deteksi AV yang rendah, alat ini mahal untuk dikembangkan dan memerlukan pengembang terampil yang tidak selalu tersedia, terutama pada kelompok tingkat bawah.
Menggunakan malware siap pakai seperti Skitnet lebih murah, lebih cepat disebarkan, dan dapat mempersulit atribusi, karena banyak pelaku ancaman menggunakannya.
Dalam dunia ransomware, ada ruang untuk kedua pendekatan, bahkan campuran keduanya, tetapi kemampuan Skitnet membuatnya sangat menarik bagi para peretas.
