Ditemukan Ransomware Luna yang Bisa Menyandera Sistem Windows, Linux, dan ESXi

Liputan6.com, Jakarta - Ransomware baru yang dijuluki Luna bisa digunakan untuk mengenkripsi perangkat yang menjalankan beberapa sistem operasi, termasuk Windows, Linux, dan ESXi.

Ditemukan oleh peneliti keamanan Kaspersky melalui iklan forum dark web ransomware, Luna tampaknya dirancang khusus untuk digunakan hanya oleh aktor ancaman berbahasa Rusia.

Enkripsi adalah proses teknis yang mengonversikan informasi menjadi kode rahasia, sehingga mengaburkan data yang dikirim, diterima, dan disimpan.

Sesuai namanya, Ransomware adalah malware yang akan menyandera data korban dengan cara melakukan enkripsi data penting.

"Iklan itu menyatakan bahwa Luna hanya bekerja dengan afiliasi berbahasa Rusia. Juga, catatan tebusan yang dikodekan di dalam biner mengandung kesalahan ejaan. Misalnya, tertulis 'a little team' bukannya 'a small team'," kata Kaspersky sebagaimana dikutip dari BleepingComputer, Jumat (22/7/2022).

"Karena itu, kami berasumsi dengan keyakinan bahwa aktor di belakang Luna adalah penutur bahasa Rusia," sambung Kaspersky.

Luna (bulan dalam bahasa Rusia) adalah ransomware sederhana yang masih dalam pengembangan dan dengan kemampuan terbatas berdasarkan opsi baris perintah yang tersedia.

Namun, ia menggunakan skema enkripsi yang tidak umum, menggabungkan kurva elips X25519 yang cepat dan aman, pertukaran kunci Diffie-Hellman menggunakan Curve25519, dengan algoritma enkripsi simetris Advanced Encryption Standard (AES).

* Fakta atau Hoaks? Untuk mengetahui kebenaran informasi yang beredar, silakan WhatsApp ke nomor Cek Fakta Liputan6.com 0811 9787 670 hanya dengan ketik kata kunci yang diinginkan.

Mengingatkan kembali akan bahaya serangan cyber “phishing” alias memancing data pribadi, serta “ransomware” alias meminta tebusan. VOA

2 dari 5 halaman

Ransomware Lintas Platform

Ilustrasi Ransomware WannaCrypt atau Wannacry — Ilustrasi Ransomware WannaCrypt atau yang disebut juga Wannacry (iStockphoto)

Grup di balik ransomware baru ini mengembangkan jenis baru di bahasa pemrograman Rust dan memanfaatkan sifat platform-agnostic untuk memindahkannya ke berbagai platform dengan sangat sedikit perubahan pada kode sumber.

Menggunakan bahasa lintas platform juga memungkinkan ransomware Luna untuk menghindari upaya analisis kode statis otomatis.

"Baik sampel Linux dan ESXi dikompilasi menggunakan kode sumber yang sama dengan beberapa perubahan kecil dari versi Windows. Sisa kode tidak memiliki perubahan signifikan dari versi Windows," para peneliti Kaspersky menambahkan.

Luna lebih lanjut dikonfirmasi diadopsi oleh kelompok cybercrime yang mengembangkan ransomware lintas platform menggunakan bahasa seperti Rust dan Golang untuk membuat malware yang mampu menargetkan beberapa sistem operasi dengan sedikit atau tanpa perubahan.

Kaspersky mengungkapkan masih sedikit data tentang korban yang telah dienkripsi menggunakan ransomware Luna. Kelompok itu baru saja ditemukan dan aktivitasnya masih dipantau.

Keluarga ransomware baru lainnya yang dilaporkan BleepingComputer bulan ini, termasuk Lilith, ransomware berbasis konsol C/C++ yang menargetkan perangkat Windows 64-bit.

Juga 0mega, operasi ransomware baru yang menargetkan perusahaan sejak Mei dan menuntut tebusan jutaan dolar.

Keduanya disebut mencuri data dari jaringan korban sebelum mengenkripsi sistem mereka untuk mendukung serangan dan pemerasan.

3 dari 5 halaman

Microsoft Bedah Hacker Korut Penyebar Ransomware Holy Ghost yang Serang Usaha Kecil

Perbesar

Logo Microsoft (Dok. Microsoft)

Di sisi lain, Microsoft mengaitkan penyebaran ransomware Holy Ghost ke kelompok hacker Korea Utara (Korut). Mereka diketahui telah menjalankan operasi ransomware itu untuk menyerang usaha kecil di berbagai negara.

Kelompok ini telah aktif cukup lama, tetapi gagal mendapatkan ketenaran dan kesuksesan finansial. Para peneliti di Microsoft Threat Intelligence Center (MSTIC) melacak geng ransomware Holy Ghost sebagai DEV-0530.

Dalam sebuah laporan sebelumnya, mereka mengatakan bahwa muatan pertama dari aktor ancaman ini terlihat tahun lalu pada Juni 2021. Demikian menurut laporan Bleeping Computer, dikutip Selasa (19/7/2022).

Diklasifikasikan sebagai SiennaPurple (BTLC_C.exe), varian ransomware Holy Ghost awal tidak memiliki banyak fitur dibandingkan dengan versi berbasis Go berikutnya yang muncul pada Oktober 2021.

Microsoft melacak varian yang lebih baru sebagai SiennaBlue (HolyRS.exe, HolyLocker.exe, dan BTLC.exe) dan mencatat bahwa fungsinya diperluas dari waktu ke waktu untuk menyertakan beberapa opsi enkripsi, string obfuscation, manajemen kunci publik, dan dukungan internet/intranet.

Para peneliti mengatakan DEV-0530 berhasil mengkompromikan beberapa target, terutama usaha kecil hingga menengah. Adapun korbannya adalah bank, sekolah, organisasi manufaktur, serta perusahaan perencanaan acara dan pertemuan.

Aktor Holy Ghost mengikuti pola serangan ransomware yang khas dan mencuri data sebelum menerapkan enkripsi pada sistem yang terinfeksi.

Penyerang meninggalkan catatan tebusan pada mesin yang disusupi dan mereka juga mengirim email kepada korban dengan tautan ke sampel data yang dicuri untuk mengumumkan bahwa mereka bersedia menegosiasikan uang tebusan dengan imbalan kunci dekripsi.

Biasanya, para pelaku menuntut pembayaran antara 1,2 hingga 5 bitcoin, atau hingga sekitar US$ 100.000 dengan nilai tukar saat ini.

"Bahkan jika permintaannya tidak besar, penyerang bersedia untuk bernegosiasi dan terkadang menurunkan harga hingga kurang dari sepertiga dari permintaan awal," kata Microsoft Threat Intelligence Center.

4 dari 5 halaman

Apakah Pemerintah Korut Terlibat?

Ilustrasi ransomware. Dok: Alex Castro/The Verge

Terkait tingkat serangan yang jarang dan pemilihan korban secara acak, menguatkan teori bahwa operasi ransomware Holy Ghost mungkin tidak dikendalikan oleh pemerintah Korea Utara.

Sebaliknya, peretas yang bekerja untuk rezim Pyongyang mungkin melakukan ini sendiri, untuk keuntungan finansial pribadi.

Koneksi dengan kelompok peretas yang didukung negara bisa saja terjadi, karena MSTIC menemukan komunikasi antara akun email milik Holy Ghost dengan Andariel, aktor ancaman bagian dari Grup Lazarus di bawah Biro Umum Pengintaian Korea Utara.

"Hubungan antara kedua kelompok menjadi lebih kuat dengan fakta bahwa keduanya beroperasi dari set infrastruktur yang sama, dan bahkan menggunakan pengontrol malware khusus dengan nama mirip," kata para peneliti.

Untuk diketahui, situs web Holy Ghost sedang down saat ini tetapi penyerang menggunakan visibilitas kecil untuk berpura-pura sebagai entitas resmi, yang mencoba membantu korban meningkatkan kekuatan keamanan mereka.

Selanjutnya, mereka memotivasi tindakan mereka sebagai upaya untuk 'menutup kesenjangan antara yang kaya dan yang miskin'. Juga untuk membantu yang miskin dan yang kelaparan.

Seperti aktor lain dalam bisnis ransomware, Holy Ghost meyakinkan para korban bahwa mereka tidak akan menjual atau membocorkan data yang dicuri jika mereka dibayar.

Laporan Microsoft mencakup serangkaian tindakan yang direkomendasikan untuk mencegah infeksi dengan muatan Holy Ghost serta beberapa indikator kompromi yang ditemukan saat menyelidiki malware.

5 dari 5 halaman