Mengenal Brain Cipher, Ransomware yang Menyerang Pusat Data Nasional
25 June 2024 |
14:59 WIB
Yudi Supriyanto
Jurnalis Hypeabis.id
Server Pusat Data Nasional Sementara (PDNS) sejak beberapa hari lalu mengalami gangguan. Badan Siber dan Sandi Negara (BSSN) mengungkapkan bahwa gangguan tersebut terjadi akibat ransomware bernama Brain Cipher yang dikirimkan oleh penyerang.
Dikutip dari laman resminya, Kepala BSSN Hinsa Siburian mengungkapkan bahwa ransomware Brain Cipher adalah pengembangan terbaru dari ransomware lockBit 3.0.
Baca juga: Mengenal LockBit, Ransomware Berbahaya dengan Serangan Bertarget
Dalam prosesnya, penyerang menggunakannya untuk menonaktifkan fitur keamanan windows defender yang terjadi pada 17 Juni 2024 pukul 23.15 WIB. Fitur keamanan dari Windows yang tidak aktif memungkikan aktivitas jahat atau malicious dapat berjalan.
Pada 20 Juni 2024 pukul 00.54 WIB, aktivitas jahat yang terjadi seperti seperti instalasi file malicious, menghapus sistem fail (file) penting, dan menonaktifkan service yang sedang berjalan. File itu umumnya berkaitan dengan storage atau penyimpanan, seperti volume shadow copy service (VSS), HyperV Volume, VirtualDisk, dan Veaam vPower NFS mulai dinonaktifkan dan crash.
“Diketahui tanggal 20 Juni 2024, pukul 00.55 WIB, windows defender mengalami crash dan tidak bisa beroperasi,” katanya.
Hisna menambahkan, BSSN akan melakukan analisa lebih lanjut tentang sampel ransomware tersebut dengan melibatkan entitas keamanan siber lainnya.
Secara historis, sebagian besar menargetkan individu. Namun, belakangan ini, ransomware yang dikirim oleh penyerang yang menargetkan organisasi menjadi semakin meluas dan semakin sulit untuk dicegah dan ditanggulangi.
Kelompok penyerang dapat menggunakan intelijen yang telah mereka kumpulkan untuk memperoleh akses ke jaringan perusahaan dengan memanfaatkan ransomware. Beberapa serangan disebut sangat canggih sampai penyerang menggunakan dokumen keuangan internal untuk meminta tebusan.
Secara garis besar, ransomware memiliki dua bentuk utama, yakni kripto dan locker. Dalam bentuk kripto, penyerang akan mengenkripsi data atau file sensitif korban sehingga mereka tidak dapat mengaksesnya hingga membayar tebusan yang diminta.
Secara teori, setelah korban membayar, mereka akan menerima kunci enkripsi untuk mendapatkan akses ke file atau data tersebut. Meskipun korban telah membayar tebusan, tidak ada jaminan bahwa penjahat cyber akan mengirim kunci enkripsi atau melepaskan kontrol.
Sementara dalam serangan ransomware loker, perangkat korban akan terkunci dan membuat mereka tidak bisa masuk. Korban akan mendapatkan catatan tebusan di layar yang menjelaskan bahwa mereka tidak dapat masuk dan memberikan instruksi tentang cara membayar tebusan untuk mendapatkan kembali akses yang dikunci.
Bentuk ransomware ini biasanya tidak melibatkan enkripsi, sehingga setelah korban mendapatkan kembali akses ke perangkat mereka, semua file dan data sensitif akan tetap ada.
Pada saat itu, ransomware itu dijuluki Rorschach oleh Check Point Research dan mengenkripsi hampir dua kali lebih cepat dari LockBit. Tidak hanya itu, Rorschach menggabungkan taktik dari berbagai serangan terkenal ditambah fitur unik baru untuk memaksimalkan kerusakan dan penghindaran dari solusi keamanan siber.
Rorschach disebarkan menggunakan kerentanan pemuatan samping DLL dari produk keamanan komersial. Analisis perilaku terhadapnya ini menunjukkan bahwa ransomware ini sebagian bersifat otonom, menyebar secara otomatis ketika dijalankan pada Pengontrol Domain (DC) sambil membersihkan log peristiwa dari mesin yang terkena dampak.
Selain itu, jenis ransomware ini juga sangat fleksibel, beroperasi tidak hanya berdasarkan konfigurasi bawaan tetapi juga terhadap berbagai argumen opsional yang memungkinkannya mengubah perilaku sesuai dengan kebutuhan operator.
Meskipun tampaknya terinspirasi dari beberapa keluarga ransomware yang paling terkenal, varian ini juga memiliki fungsi unik yang jarang terlihat di antara ransomware, seperti penggunaan syscall langsung.
Catatan ransomware yang dikirimkan penyerang kepada korban memiliki format yang mirip dengan catatan ransomware Yanluowang, meskipun varian lain menghapus catatan yang lebih mirip dengan catatan ransomware DarkSide sehingga menyebabkan beberapa orang salah menyebutnya sebagai DarkSide.
Baca juga: Begini Loh 5 Tips Praktis Menangkal Serangan Ransomware
(Baca artikel Hypeabis.id lainnya di Google News)
Editor: Syaiful Millah
Dikutip dari laman resminya, Kepala BSSN Hinsa Siburian mengungkapkan bahwa ransomware Brain Cipher adalah pengembangan terbaru dari ransomware lockBit 3.0.
Baca juga: Mengenal LockBit, Ransomware Berbahaya dengan Serangan Bertarget
Dalam prosesnya, penyerang menggunakannya untuk menonaktifkan fitur keamanan windows defender yang terjadi pada 17 Juni 2024 pukul 23.15 WIB. Fitur keamanan dari Windows yang tidak aktif memungkikan aktivitas jahat atau malicious dapat berjalan.
Pada 20 Juni 2024 pukul 00.54 WIB, aktivitas jahat yang terjadi seperti seperti instalasi file malicious, menghapus sistem fail (file) penting, dan menonaktifkan service yang sedang berjalan. File itu umumnya berkaitan dengan storage atau penyimpanan, seperti volume shadow copy service (VSS), HyperV Volume, VirtualDisk, dan Veaam vPower NFS mulai dinonaktifkan dan crash.
“Diketahui tanggal 20 Juni 2024, pukul 00.55 WIB, windows defender mengalami crash dan tidak bisa beroperasi,” katanya.
Hisna menambahkan, BSSN akan melakukan analisa lebih lanjut tentang sampel ransomware tersebut dengan melibatkan entitas keamanan siber lainnya.
Ransomware
Adapun, dikutip dari laman Microsoft, ransomware adalah sejenis program jahat atau malware yang mengancam korban dengan menghancurkan atau memblokir akses ke data atau sistem penting hingga tebusan dibayar.Secara historis, sebagian besar menargetkan individu. Namun, belakangan ini, ransomware yang dikirim oleh penyerang yang menargetkan organisasi menjadi semakin meluas dan semakin sulit untuk dicegah dan ditanggulangi.
Kelompok penyerang dapat menggunakan intelijen yang telah mereka kumpulkan untuk memperoleh akses ke jaringan perusahaan dengan memanfaatkan ransomware. Beberapa serangan disebut sangat canggih sampai penyerang menggunakan dokumen keuangan internal untuk meminta tebusan.
Secara garis besar, ransomware memiliki dua bentuk utama, yakni kripto dan locker. Dalam bentuk kripto, penyerang akan mengenkripsi data atau file sensitif korban sehingga mereka tidak dapat mengaksesnya hingga membayar tebusan yang diminta.
Secara teori, setelah korban membayar, mereka akan menerima kunci enkripsi untuk mendapatkan akses ke file atau data tersebut. Meskipun korban telah membayar tebusan, tidak ada jaminan bahwa penjahat cyber akan mengirim kunci enkripsi atau melepaskan kontrol.
Sementara dalam serangan ransomware loker, perangkat korban akan terkunci dan membuat mereka tidak bisa masuk. Korban akan mendapatkan catatan tebusan di layar yang menjelaskan bahwa mereka tidak dapat masuk dan memberikan instruksi tentang cara membayar tebusan untuk mendapatkan kembali akses yang dikunci.
Bentuk ransomware ini biasanya tidak melibatkan enkripsi, sehingga setelah korban mendapatkan kembali akses ke perangkat mereka, semua file dan data sensitif akan tetap ada.
Rorschach
Pada saat ini, penyerangan dengan ransomware terus berkembang. Dalam informasi yang diterima Hypeabis.id pada tahun lalu, Check Point Research (CPR) mendeteksi jenis yang sebelumnya tidak disebutkan namanya dan disebarkan.Pada saat itu, ransomware itu dijuluki Rorschach oleh Check Point Research dan mengenkripsi hampir dua kali lebih cepat dari LockBit. Tidak hanya itu, Rorschach menggabungkan taktik dari berbagai serangan terkenal ditambah fitur unik baru untuk memaksimalkan kerusakan dan penghindaran dari solusi keamanan siber.
Rorschach disebarkan menggunakan kerentanan pemuatan samping DLL dari produk keamanan komersial. Analisis perilaku terhadapnya ini menunjukkan bahwa ransomware ini sebagian bersifat otonom, menyebar secara otomatis ketika dijalankan pada Pengontrol Domain (DC) sambil membersihkan log peristiwa dari mesin yang terkena dampak.
Selain itu, jenis ransomware ini juga sangat fleksibel, beroperasi tidak hanya berdasarkan konfigurasi bawaan tetapi juga terhadap berbagai argumen opsional yang memungkinkannya mengubah perilaku sesuai dengan kebutuhan operator.
Meskipun tampaknya terinspirasi dari beberapa keluarga ransomware yang paling terkenal, varian ini juga memiliki fungsi unik yang jarang terlihat di antara ransomware, seperti penggunaan syscall langsung.
Catatan ransomware yang dikirimkan penyerang kepada korban memiliki format yang mirip dengan catatan ransomware Yanluowang, meskipun varian lain menghapus catatan yang lebih mirip dengan catatan ransomware DarkSide sehingga menyebabkan beberapa orang salah menyebutnya sebagai DarkSide.
Baca juga: Begini Loh 5 Tips Praktis Menangkal Serangan Ransomware
(Baca artikel Hypeabis.id lainnya di Google News)
Editor: Syaiful Millah
Komentar
Silahkan Login terlebih dahulu untuk meninggalkan komentar.