Varian Baru Locky

April, 07 2016 12:11
Teknologi

Digitalmania – Ransomware Locky dengan varian terbaru terdeteksi sedang beraksi diluaran sana, menjadi fokus perhatian utama para pakar keamanan yang mewanti-wanti perusahaan di dunia agar lebih berhati-hati karena varian baru ini lebih sulit dideteksi.

Locky sekarang berusaha untuk menghindari deteksi dengan mengubah cara berkomunikasi dari komputer terinfeksi ke remote server yang mengunduh ransomware Locky yang sebenarnya.

Dan untuk pertama kalinya Locky diketahui dikirim melalui Nuclear Exploit Kit, menunjukkan bagaimana Locky sudah semakin matang dan jauh berkembang. Dengan Melakukan pendistribusian (spam) sebagai metode utama yang mendapat bantuan dari vendor exploit kit di pasar gelap.

Locky perlahan-lahan mengikuti jejak varian ransomware papan atas seperti CryptoWall dan TeslaCrypt yang menyebar merata melalui spam dan exploit kit. Tapi sebagian besar penyebaran Locky masih menggunakan spam, dan baru kali ini memanfaatkan exploit kit sebagai media untuk menginfeksi.

Melalui sebuah observasi yang dilakukan ESET, ditemukan setidaknya dua perubahan terbaru dalam cara Locky berkomunikasi antara komputer terinfeksi dan server command & control yang mengirimkan payload Locky.

Perubahan awal yang terjadi tidak begitu drastis, pelaku secara sederhana mengubah urutan permintaan perintah dari komputer terinfeksi, dan perubahan tersebut ternyata sudah cukup untuk menipu pemindaian keamanan yang mencari komunikasi ransomware Locky.

Karakteristik baru Locky berhubungan dengan bagaimana cara ia berkomunikasi dikenali dalam beberapa minggu terakhir dengan mengadakan beberapa perubahan dalam pola komunikasi yang kemudian menjadi bagian operasi penyebaran terbaru.

Cara Locky berkomunikasi awalnya sudah sangat diketahui di seluruh masyarakat dengan menampilkan pola komunikasi tertentu. Namun, sejak 22 Maret tiba-tiba telah terjadi penurunan besar dalam log yang berkaitan dengan komunikasi varian Locky ini:

Hal ini malah menimbulkan kecurigaan, karena tidak mungkin dalam waktu singkat terjadi perubahan signifikan, asumsi ini yang mendorong penelitian lebih mendalam sampai akhirnya ditemukan temuan baru.

Varian pertama yang menampilkan perubahan dalam cara berkomunikasi ditemui mengalami perubahan dalam header:

Perhatikan tambahan Content-Type dan User-Agent, sedangkan posisi relatif host tidak lagi langsung setelah header POST.

Meskipun sudah membuat perubahan, tapi tampaknya aktor di belakang Locky masih belum puas, dan cara berkomunikasi kembali mengalami perubahan, dan dalam penlitian lebih lanjut pada exploit kit (EK), ditemukan perubahan kedua dalam varian Locky yang dikirim oleh Nuclear EK. Kali ini perubahan yang terjadi lebih drastis, yaitu pada downloader yang dirilis oleh Nuclear EK dan Protocol pertukaran kunci C&C.
Downloader menampilkan permintaan ini ke server C&C:

  • GET /login.php HTTP/1.1
  • Accept: */*
  • Accept-Encoding: gzip, deflate
  • User-Agent: Mozilla/4.0 (…)
  • Host: <hostname>
  • Connection: Keep-Alive

Dan responnya adalah executable Locky, yang kini memiliki metode baru untuk mengambil kunci enkripsi dari server C&C.

  • POST /submit.php HTTP/1.1
  • Content-Type: application/x-www-form-urlencoded
  • User-Agent: Mozilla/4.0 (…)
  • Host: <hostname>
  • Content-Length: <length of encoded binary data>
  • Connection: Keep-Alive
  • Cache-Control: no-cache

Server merespon dengan:

  • HTTP/1.1 200 OK
  • Server: nginx
  • Date: <date>
  • Content-Type: text/html; charset=UTF-8
  • Content-Length: <length of encoded binary data>
  • Connection: keep-alive
  • Vary: Accept-Encoding

Locky sejak awal deteksi diketahui sebagai ransomware yang tangguh dengan upayanya menginfeksi pengguna komputer di lebih dari 100 negara. Vektor serangan Locky berpusat pada pesan email yang berisi lampiran dokumen Word yang tertanam malicious macro. Setelah macro bergerak, script memulai dengan mengunduh Locky kedalam PC korban.

Sejauh ini sudah ditemukan 10 varian downloader Locky yang berbeda. Setiap varian selalu mencoba untuk menghindari deteksi dengan menyembunyikan payload Locky dalam beberapa jenis file berbeda (.doc, .docm, .xls and also .js) yang seluruhnya berakting sebagai lampiran invoice. Namun Locky tidak termasuk dalam kelompok ransomware unik, keberhasilannya selama ini ditentukan oleh metode spam yang efektif. Digitalmania. (AN)

DigitalmaniaESETinternetLockyRansomwareVarian

Related Posts

April, 05 2024 11:36 Malware Disembunyikan Dalam Gambar
April, 03 2024 11:04 Insiden Siber Paling Mematikan Di Dunia
March, 25 2024 16:01 Risiko Keamanan Aplikasi Kesehatan
April, 16 2024 11:26 Perlukah Menggunakan Kata Sandi
March, 27 2024 11:18 Aplikasi Palsu Penguras Dompet
March, 22 2024 16:35 APT28 Menyebar Phising Secara Global
March, 19 2024 11:57 Berbagi File dengan Aman
April, 22 2024 11:48 Tren Ancaman Keamanan Teknologi Informasi
April, 25 2024 11:44 Penipuan Peniruan Identitas
March, 20 2024 11:31 Bahaya Siber Smartphone
April, 15 2024 14:37 Mitigasi Serangan Phising
March, 26 2024 15:13 Operasi Phising PhantomBlu
April, 24 2024 10:35 Penipuan Pinjaman Online
April, 04 2024 10:57 Serangan SMS di Android
April, 01 2024 11:34 Anak Aman Berinternet dengan Komunikasi
March, 28 2024 11:17 Manipulasi Digital Document Publishing
March, 21 2024 13:33 Smartphone: Antisipasi Malware dan Pelacakan
April, 17 2024 13:48 Kenapa Penjahat Siber Menargetkan Informasi Pribad...
April, 26 2024 16:48 Klasifikasi Jenis Ancaman Uang Digital
April, 02 2024 11:40 Darcula Memakan Korban 100 Negara