Kabar terbaru dari dunia maya heboh dengan kehadiran varian baru ransomware yang ternyata ada hubungannya dengan Locky, ransomware ganas yang masih terus menghantui dan membawa petaka bagi pengguna internet.
Zepto demikian julukan untuk ransomware baru ini, merupakan keluarga malware dari Locky. Kegemparan yang dibawa Zepto disebabkan karena malware ini sengaja disebar secara random ke seluruh dunia melalui ratusan ribu spam email dengan tujuan tentu saja untuk mendapatkan korban sebanyak-banyaknya.
Zepto menargetkan sasaran pada semua versi Windows tetapi tidak mempengaruhi Mac, Linux atau smartphone. Dengan algoritma RSA-2048 pengembang malware menggunakannya untuk mengenkripsi semua data file korban. Seperti halnya ransomware lain, Zepto mencari file ke seluruh drive yang terhubung termasuk file server. Ia juga mencari file yang disinkronisasi melalui Google Drive dan Dropbox. Untuk Windows 10, ransomware ini dapat berpindah dari satu mesin ke mesin lain di workgroup yang sama tergantung bagaimana pengaturannya.
Cara Kerja
Spam email yang disebar menggunakan berbagai subyek seperti salinan dokumen dan berbagai profil pengirim seperti CEO untuk mendorong penerima membuka pesan dan mengeksekusi javascript berbahaya.
Jika sebelumnya installer Zepto didistribusikan menggunakan file JS zip. Sekarang installer dikirim menggunakan file WSF zip di email yang berpura-pura seperti laporan perbankan, faktur, atau pengiriman informasi. File WSF, atau Windows Script File, adalah file yang dijalankan oleh Windows Script Host dan dapat berisi kode menggunakan beberapa bahasa dalam file yang sama. Meskipun kampanye Zepto menggunakan file WSF, namun atttachment masih menggunakan kode script untuk mengunduh dan menginstal ransomware. Sebagai contoh, sebuah file WSF mungkin mengandung JScript dan kode VBScript.
Laporan Talos, kampanye spam Zepto dimulai sejak 27 Juni 2016, dengan 137.731 pesan spam yang membawa ransomware tercatat dalam 4 hari pertama. Semua pesan spam mengirim arsip dengan ekstensi .zip terkompresi dan mengandung file javasript berbahaya sebagai perantara untuk menginfeksi komputer penerima dengan ransomware Zepto. Semua file javascript diawali dengan nama “swift” dan diikuti oleh sejumlah karakter heksadesimal.
Javascript berbahaya menggunakan wscript.exe untuk mengaktifkan permintaan HTTP GET ke domain komando dan kontrol (C&C). Setelah binary berhasil diunduh dan dijalankan, mesin memulai proses enkripsi file lokal dan mengubah nama file hingga nama asli file tidak dikenali lagi. File yang telah terinfeksi akan menggunakan ekstensi .zepto. Tahap selanjutnya akan ada permintaan uang tebusan untuk mendeskripsi file.
Zepto demikian julukan untuk ransomware baru ini, merupakan keluarga malware dari Locky. Kegemparan yang dibawa Zepto disebabkan karena malware ini sengaja disebar secara random ke seluruh dunia melalui ratusan ribu spam email dengan tujuan tentu saja untuk mendapatkan korban sebanyak-banyaknya.
Zepto menargetkan sasaran pada semua versi Windows tetapi tidak mempengaruhi Mac, Linux atau smartphone. Dengan algoritma RSA-2048 pengembang malware menggunakannya untuk mengenkripsi semua data file korban. Seperti halnya ransomware lain, Zepto mencari file ke seluruh drive yang terhubung termasuk file server. Ia juga mencari file yang disinkronisasi melalui Google Drive dan Dropbox. Untuk Windows 10, ransomware ini dapat berpindah dari satu mesin ke mesin lain di workgroup yang sama tergantung bagaimana pengaturannya.
Cara Kerja
Spam email yang disebar menggunakan berbagai subyek seperti salinan dokumen dan berbagai profil pengirim seperti CEO untuk mendorong penerima membuka pesan dan mengeksekusi javascript berbahaya.
Jika sebelumnya installer Zepto didistribusikan menggunakan file JS zip. Sekarang installer dikirim menggunakan file WSF zip di email yang berpura-pura seperti laporan perbankan, faktur, atau pengiriman informasi. File WSF, atau Windows Script File, adalah file yang dijalankan oleh Windows Script Host dan dapat berisi kode menggunakan beberapa bahasa dalam file yang sama. Meskipun kampanye Zepto menggunakan file WSF, namun atttachment masih menggunakan kode script untuk mengunduh dan menginstal ransomware. Sebagai contoh, sebuah file WSF mungkin mengandung JScript dan kode VBScript.
Laporan Talos, kampanye spam Zepto dimulai sejak 27 Juni 2016, dengan 137.731 pesan spam yang membawa ransomware tercatat dalam 4 hari pertama. Semua pesan spam mengirim arsip dengan ekstensi .zip terkompresi dan mengandung file javasript berbahaya sebagai perantara untuk menginfeksi komputer penerima dengan ransomware Zepto. Semua file javascript diawali dengan nama “swift” dan diikuti oleh sejumlah karakter heksadesimal.
Javascript berbahaya menggunakan wscript.exe untuk mengaktifkan permintaan HTTP GET ke domain komando dan kontrol (C&C). Setelah binary berhasil diunduh dan dijalankan, mesin memulai proses enkripsi file lokal dan mengubah nama file hingga nama asli file tidak dikenali lagi. File yang telah terinfeksi akan menggunakan ekstensi .zepto. Tahap selanjutnya akan ada permintaan uang tebusan untuk mendeskripsi file.
Tindakan Pencegahan
Seperti yang telah diketahui Zepto tidak menggunakan metode serangan baru, phising/spam saat ini umumnya membawa resiko besar dari ransomware terkait. Serangan melalui email seperti yang dilakukan Zepto akan terus digunakan. Karena email sebagai sarana komunikasi sehari-hari mampu menghasilkan data besar yang dapat digunakan untuk kampanye spam.
Sentralnya peran email mengharuskan endpoint untuk selalu berhati-hati dengan email attachment, sehingga dapat membantu mengurangi kemungkinan infeksi, perusahaan juga harus memiliki strategi penyimpanan file yang baik untuk mencegah Zepto.
Melihat geger dunia maya akibat serangan masif yang dilakukan oleh ransomware Zepto, Yudhi Kukuh, Technical Consultant PT Prosperita – ESET Indonesia mempunyai pandangan sendiri atas kasus yang dampaknya juga telah sampai ke Indonesia “Yang perlu dicermati dari kasus ini adalah turunnya intensitas serangan Locky di dunia diikuti dengan serangan masif Zepto yang memiliki banyak kesamaan dengan Locky, jadi jelas pengembang malware sengaja membatasi pergerakan Locky untuk memberi ruang dan kejutan, ditambah dengan takluknya TeslaCrypt membuat pengguna internet menjadi lengah dan mengurangi kewaspadaannya, faktor inilah yang membuat mengapa Zepto bisa masuk menyerang, karena vektor serangan Zepto tidak memiliki perbedaan dengan ransomware yang menggunakan email sebagai metode penyerangan”.
Selain solusi di atas ada satu solusi lain yang jauh lebih baik dan tentu saja mengurangi human error yang sering terjadi yaitu dengan menggunakan sistem untuk mencegah eksekusi malware, seperti alat scanning untuk memblokir akses ke situs malware. ESET Mail Security mampu menyortir file di gateway dan mengirim email yang sudah bersih ke inbox perusahaan. Bila menemukan file yang mengandung attachment berbahaya, file akan dikarantina, sehingga infrastruktur perusahaan akan terlindungi sepenuhya.
SUMBER
Seperti yang telah diketahui Zepto tidak menggunakan metode serangan baru, phising/spam saat ini umumnya membawa resiko besar dari ransomware terkait. Serangan melalui email seperti yang dilakukan Zepto akan terus digunakan. Karena email sebagai sarana komunikasi sehari-hari mampu menghasilkan data besar yang dapat digunakan untuk kampanye spam.
Sentralnya peran email mengharuskan endpoint untuk selalu berhati-hati dengan email attachment, sehingga dapat membantu mengurangi kemungkinan infeksi, perusahaan juga harus memiliki strategi penyimpanan file yang baik untuk mencegah Zepto.
Melihat geger dunia maya akibat serangan masif yang dilakukan oleh ransomware Zepto, Yudhi Kukuh, Technical Consultant PT Prosperita – ESET Indonesia mempunyai pandangan sendiri atas kasus yang dampaknya juga telah sampai ke Indonesia “Yang perlu dicermati dari kasus ini adalah turunnya intensitas serangan Locky di dunia diikuti dengan serangan masif Zepto yang memiliki banyak kesamaan dengan Locky, jadi jelas pengembang malware sengaja membatasi pergerakan Locky untuk memberi ruang dan kejutan, ditambah dengan takluknya TeslaCrypt membuat pengguna internet menjadi lengah dan mengurangi kewaspadaannya, faktor inilah yang membuat mengapa Zepto bisa masuk menyerang, karena vektor serangan Zepto tidak memiliki perbedaan dengan ransomware yang menggunakan email sebagai metode penyerangan”.
Selain solusi di atas ada satu solusi lain yang jauh lebih baik dan tentu saja mengurangi human error yang sering terjadi yaitu dengan menggunakan sistem untuk mencegah eksekusi malware, seperti alat scanning untuk memblokir akses ke situs malware. ESET Mail Security mampu menyortir file di gateway dan mengirim email yang sudah bersih ke inbox perusahaan. Bila menemukan file yang mengandung attachment berbahaya, file akan dikarantina, sehingga infrastruktur perusahaan akan terlindungi sepenuhya.
SUMBER
0 komentar:
Posting Komentar