SHARE

Sebelumnya muncul sebuah video di Youtube yang mengiklankan tentang Philadelphia, sebuah Ransomware yang dapat dibeli dan dikustomisasi sesuai keinginan penggunanya. Kali ini sebuah postingan di salah satu forum hacking muncul dan menawarkan hal yang sama yakni Ransomware.

Berbeda dengan Philadelphia yang menerapkan lisensi seumur hidup dengan hanya sekali pembayaran, ransomware yang diberi nama Dot ini menerapkan sistem bagi hasil bagi mereka yang ingin menggunakan jasanya. Semua keuntungan yang didapat dari infeksi ransomware ini akan dibagi rata 50:50 antara pengguna jasa dan pembuat ransomwarenya.

Tampilan postingan di forum hacking

Tim Peneliti dari Perusahaan Fortinet berhasil melakukan analisa lebih dalam terkait ransomware yang disewakan tersebut. Iklan pada forum tersebut memberikan beberapa link ke halaman website yang bisa dikunjungi jika berminat menyewa jasa ransomware ini. Semua website tersebut berada pada jaringan Tor

Tampilan website penyewaan ransomware

Untuk dapat menggunakan website ini pengguna diwajibkan melakukan pendaftaran dengan memasukkan alamat bitcoin. Setelah terdaftar dan berhasil masuk, pengguna akan diberikan link untuk mengunduh Ransomware Builder yang bisa dipakai untuk membuat Dot ransomware dan beberapa file pendukung lainnya.

Secara umum cara kerja dari jasa penyewaan ransomware ini adalah dengan metode afiliasi. Setiap ransomware memiliki kode uniknya masing-masing yang terhubung dengan pengguna atau penyewa tertentu. Hasil infeksi dari ransomware ini dapat dipantau langsung pada website, hanya saja fitur ini dapat berfungsi jika korban ransomware tersebut mengunjungi website yang telah disediakan pada halaman pemberitahuan infeksi ransomware sehingga dapat diketahui kode unik dari korban tersebut

Statistik hasil infeksi ransomware

Ransomware Buildernya sendiri mudah untuk digunakan meskipun tidak berbasis GUI. Dalam file pendukungnya juga telah disertakan panduan terkait nilai bitcoin yang disarankan pada beberapa negara karena tiap negara nilai uang tebusannya tidak sama. Secara default, nilai bitcoinnya adalah 1 jika tidak dilakukan perubahan.

Konfigurasi pada Ransomware Builder
Tracking ID unik untuk setiap ransomware

Setelah berhasil membuat ransomware, Builder akan secara otomatis menggenerate tracking ID unik untuk setiap ransomware yang dibuatnya. Detail konfigurasi ransomware tersebut kemudian dienkripsi dan dituliskan kedalam file binari payloadnya.

Detail konfigurasi yang dienkripsi
Hasil dekripsi konfigurasi

Peneliti dari Fortinet juga berhasil melakukan dekripsi terhadap alamat URL website yang dipakai untuk melakukan pembayaran uang tebusan. Alamat URL ini dicoding secara langsung pada binari ransomware tersebut dan tidak dapat diganti oleh penyewa ransomware. Alamat URL ini dienkripsi menggunakan SHA-256 untuk kemudian hashnya dibandingkan dengan hasil hash pada file ransomware, jika berbeda maka ransomware tidak dapat berjalan. Hal ini dilakukan untuk memastikan bahwa uang atau bitcoin yang dibayarkan akan langsung masuk kedalam rekening pembuat ransomware aslinya, bukan penyewanya. Setelah itu mungkin penyewanya baru akan diberikan bagiannya dari keuntungan yang didapatkan

Hasil dekripsi RSA-4096 Key
Nilai hash SHA-256 yang disisipkan dalam codingan

Selama melakukan enkripsi, ransomware tersebut tidak melakukan komunikasi apapun dengan server C&C. Untuk mengidentifikasi korbannya, ransomware tersebut menghasilkan semacam signature yang unik dan berbeda untuk setiap korbannya. Ketika korban kemudian mengunjungi website pembayarannya maka signature ini juga akan dikirimkan sehingga pembuat ransomware dapat membedakan setiap korbannya.

Signature unik ransomware

Dot Ransomware menggunakan algoritma Blowfish dalam melakukan enkripsi terhadap semua filenya yang menjadi targetnya. Sebuah initialization vector (iv) digunakan selama melakukan enkripsi untuk mencegah perulangan sehingga sangat susah untuk ditebak pola dalam file hasil enkripsinya. File yang berhasil dienkripsi akan memiliki ekstensi tambahan dibelakang namanya berupa .locked-{3 huruf acak}

File hasil enkripsi

Setelah enkripsi selesai dilakukan, Dot ransomware akan membuka sebuah file HTML yang menampilkan informasi tentang website mana yang harus dikunjungi korban untuk membayarkan uang tebusannya. Meskipun begitu, tidak terdapat informasi tambahan terkait bagaimana cara mengembalikan semua file yang telah dienkripsi. Normalnya pembuat ransomware akan mengirimkan program yang bisa dipakai untuk dekripsi terhadap file-file tersebut.

Tampilan file HTML berisi informasi website yang bisa dikunjungi untuk melakukan pembayaran

Tim peneliti dari Fortinet sendiri mengklaim masih belum menemukan indikasi atau laporan terkait infeksi dari ransomware ini. Meskipun begitu pengguna disarankan untuk tetap waspada dan selalu melakukan backup secara rutin terhadap semua file yang dianggap penting.

Dengan kembali ditemukannya hal ini, sepertinya bisnis Ransomware masih akan terus berkembang dan ancaman ransomware masih akan menjadi momok yang menakutkan bagi sebagian besar kalangan.

Referensi:
Dot Ransomware: Yet another Commission-based Ransomware-as-a-Service
Semua gambar diambil dari website blog.fortinet.com

Tinggalkan komentar

Berikan komentar