KONTEKS.CO.ID – Ransomware ShrinkLocker tengah mengincar perusahaan-perusahaan yang beroperasi di Indonesia.
Para Kaspersky telah mengidentifikasi serangan ransomware memanfaatkan BitLocker Microsoft guna mencoba melakukan enkripsi file perusahaan.
Peretas mengancam perusahaan menghapus opsi pemulihan atau “recovery” guna mencegah pemulihan file. Pelaku juga menggunakan skrip berbahaya dengan fitur baru mampu mendeteksi versi Windows tertentu dan mengaktifkan BitLocker sesuai versi Windows.
Insiden ransomware yang mendapat julukan “ShrinkLocker”, dan variannya ini teramati di Meksiko, Indonesia, dan Yordania. Para pelaku menargetkan perusahaan-perusahaan di bidang manufaktur baja dan vaksin, serta entitas pemerintahan.
Laporan Pakar Siber tentang Serangan Menggunakan VBScript
Tim Kaspersky Global Emergency Response melaporkan bahwa para pelaku ancaman menggunakan VBScript, yakni bahasa pemrograman untuk mengotomatisasi tugas-tugas pada komputer Windows.
VBScript membuat skrip berbahaya dengan fitur-fitur yang sebelumnya tidak terlaporkan guna memaksimalkan kerusakan akibat serangan tersebut.
Kebaruannya adalah skrip memeriksa versi Windows yang saat itu terinstal pada sistem dan mengaktifkan fitur BitLocker yang sesuai. Dengan cara ini, skrip tersebut teryakini dapat menginfeksi sistem baru dan lama hingga Windows Server 2008.
Jika versi OS cocok untuk serangan tersebut, skrip akan mengubah pengaturan boot dan mencoba mengenkripsi seluruh drive menggunakan BitLocker. Ini membuat partisi boot baru, yang pada dasarnya menyiapkan bagian terpisah pada drive komputer yang berisi file untuk mem-boot sistem operasi.
Tindakan ini bertujuan mengurung korban pada tahap selanjutnya. Penyerang juga menghapus pelindung yang korbannta gunakan untuk mengamankan kunci enkripsi BitLocker, sehingga tidak dapat memulihkannya.
Skrip berbahaya kemudian mengirimkan informasi tentang sistem dan kunci enkripsi yang terhasilkan pada komputer yang tersusupi menuju server yang pelaku kendalikan.
Setelah itu, ia menutupi jejaknya dengan menghapus log dan berbagai file yang berfungsi sebagai petunjuk dan membantu penyelidikan serangan.
Sebagai langkah terakhir, malware akan melakukan penutupan paksa sistem. Suatu kemampuan yang difasilitasi oleh pembuatan dan instalasi ulang file di partisi boot terpisah. Korban melihat layar BitLocker dengan pesan “Tidak ada lagi opsi pemulihan BitLocker di PC Anda”.
Peretas Gunakan Sistem Keamanan untuk Menyerang
Kaspersky menamai skrip tersebut sebagai “ShrinkLocker”, karena nama ini menyoroti prosedur penting pengubahan ukuran partisi. Terpenting bagi penyerang untuk memastikan sistem melakukan booting dengan benar dengan file terenkripsi.
“Hal yang sangat memprihatinkan dalam kasus ini adalah bahwa BitLocker, yang awalnya terancang untuk mengurangi risiko pencurian atau eksploitasi data, telah digunakan kembali oleh musuh untuk tujuan berbahaya,” kata Cristian Souza, Incident Response Specialist di Kaspersky Global Emergency Response Team, Kamis 30 Mei 2024.
“Sungguh ironi tindakan pengamanan dijadikan senjata dengan cara seperti ini. Bagi perusahaan yang menggunakan BitLocker, penting untuk memastikan kata sandi yang kuat dan penyimpanan kunci pemulihan yang aman,” katanya lagi.
Souza menambahkan, pencadangan rutin tersimpan secara offline dan teruji juga merupakan perlindungan yang penting.
Cara Melawan Ransomware ShrinkLocker
Analisis teknis terperinci mengenai insiden tersebut tersedia di Securelist. Ahli siber merekomendasikan langkah-langkah mitigasi berikut ini untuk mencegah penyerang mengeksploitasi organisasi Anda:
- Gunakan perangkat lunak keamanan yang kuat dan dikonfigurasi dengan benar untuk mendeteksi ancaman yang mencoba menyalahgunakan BitLocker.
- Menerapkan Deteksi dan Respons Terkelola (MDR) untuk memantau ancaman secara proaktif.
- Batasi hak istimewa pengguna untuk mencegah pengaktifan fitur enkripsi atau modifikasi kunci registri tanpa izin.
- Aktifkan pencatatan dan pemantauan lalu lintas jaringan, menangkap permintaan GET dan POST, karena sistem yang terinfeksi dapat mengirimkan kata sandi atau kunci ke domain penyerang.
- Selalu memonitor kejadian eksekusi VBScript dan PowerShell, simpan skrip dan perintah yang dicatat ke repositori eksternal untuk retensi aktivitas meskipun ada penghapusan lokal. ***
Simak breaking news dan berita pilihan Konteks langsung dari ponselmu. Konteks.co.id WhatsApp Channel
Baca berita pilihan konteks.co.id lainnya di:
"Google News"