• Homepage
  • >
  • TIPS
  • >
  • BadRabbit: Ransomware Baru Serang Rusia dan Ukraina Perlu Diwaspadai

BadRabbit: Ransomware Baru Serang Rusia dan Ukraina Perlu Diwaspadai

  • Karyoto
  • 14 November 2017
  • 0

Ransomware baru yang disebut BadRabbit (Ransom.BadRabbit) mulai menyebar sejak Selasa lalu, 24 Oktober 2017, dengan sebagian besar upaya serangan terlihat di Rusia. Namun, karena BadRabbit ini bisa memperbanyak diri sendiri dan dapat menyebar ke seluruh jaringan perusahaan, maka organisasi harus tetap waspada.

BadRabbit bisa memperbanyak diri dan memiliki banyak kesamaan dengan serangan Petya / NotPetya bulan Juni 2017 lalu.

Cara penyebaran BadRabbit

Metode infeksi berawal dari pengunduhan yang tidak disadari pada situs web yang sudah tersusupi. Malware tersebut menyamar sebagai update palsu Adobe Flash Player. Pengunduhan berasal dari domain bernama 1dnscontrol[dot]com, meskipun para pengunjung mungkin diarahkan ke situs web lain yang juga berbahaya.

Setelah terinstal di komputer korban, BadRabbit mencoba menyebarkan diri di jaringan mereka melalui SMB (Server Message Block). Untuk mendapatkan kredensial yang diperlukan, BadRabbit dilengkapi dengan versi Mimikatz (Hacktool.Mimikatz), tool perentasan yang mampu mengubah privilege dan menemukan kata kunci Windows dalam bentuk plaintext. Malware ini juga menggunakan daftar hardcoded dari kredensial default yang umum digunakan untuk mencoba menebak kata kunci.

Symantec tidak menemukan bukti bahwa BadRabbit mengeksploitasi kerentanan untuk memperbanyak diri.

BadRabbit pertama kali mulai menyebar sekitar pukul 10 pagi UTC tanggal 24 Oktober. Telemetri Symantec menunjukkan bahwa sebagian besar upaya infeksi terjadi di Rusia dalam dua jam setelah serangan pertama kali muncul.

Jumlah kecil upaya infeksi terjadi di beberapa negara lain. CERT-UA, Ukrainian Computer Emergency Response Team, mengatakan telah terjadi “distribusi besar-besaran” BadRabbit di Ukraina. Sebelumnya,  buletin dari agensi tersebut menyebutkan bahwa bandara Odessa dan kereta bawah tanah Kiev mendapatkan serangan siber, namun tidak disebutkan keterlibatan BadRabbit dalam serangan tersebut.

Perbandingan dengan Petya

BadRabbit memiliki banyak kesamaan dengan serangan Petya (Ransom.Petyayang terjadi pada bulan Juni 2017 lalu. Kedua jenis malware ini menggunakan gaya serangan yang meminta tebusan dan menggunakan mekanisme penyebaran sendiri. Kedua ancaman tersebut juga mengandung komponen yang menargetkan master boot record (MBR) komputer yang terinfeksi, menimpa MBR yang sudah ada.

Perbedaannya adalah, pertama, Petya menggunakan eksploitasi EternalBlue untuk menyebar, selain menggunakan teknik penyebaran jaringan SMB klasik. BadRabbit tidak menggunakan EternalBlue dan hanya menggunakan teknik yang terakhir. Kedua, Petya secara teknis merupakan wiper dibanding ransomware, karena tidak ada cara untuk memperoleh kunci dekripsi. Analisa kami terhadap BadRabbit masih berlangsung namun kami belum menemukan bukti yang menunjukkan bahwa BadRabbit bergerak seperti wiper.

Salah satu aspek yang paling menonjol dari BadRabbit adalah penggunaan setidaknya tiga tool open-source pihak ketiga. Selain dari Mimikatz, BadRabbit juga menggunakan tool enkripsi open source DiskCryptor untuk melakukan enkripsi. Mereka juga menggunakan driver dari ReactOS, sebuah open-source alternatif untuk Windows, sehingga mengurangi jumlah aktivitas mencurigakan yang terdeteksi pada komputer yang terinfeksi.

 

Previous «
Next »

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *