GandCrab, Ransomware yang Paling Banyak Makan Korban di 2018
Konten dari Pengguna
26 Oktober 2018 6:01 WIB
Tulisan dari Alfons Tanujaya tidak mewakili pandangan dari redaksi kumparan
PerbesarADVERTISEMENT
GandCrab secara defacto merupakan ransomware jawara di tahun 2018. Pada saat diluncurkan pertama kali, ransomware ini sempat mendapatkan serangan balik dari kalangan sekuriti di mana terdapat kelemahan dalam pemrogramannya, sehingga kunci dekripsinya dibagikan secara gratis pada situs www.nomoreransom.org.
ADVERTISEMENT
Pembuat GandCrab juga sempat berseteru dengan vendor antivirus Korea Ahn Lab karena aksinya yang dirasakan mengancam pengguna internet Korea Selatan, sehingga Ahn Lab mengeluarkan program tambahan untuk menangkal aksi GandCrab V4.1.2 mengincar pengguna internet Korea Selatan.
Tidak senang karena aksinya dihentikan oleh Ahn Lab, pembuat GandCrab melakukan serangan balik dengan mengeluarkan varian baru yang akan menyebabkan BSOD (Blue Screen of Death) pada pengguna antivirus Ahn Lab.
GandCrab banyak disebarkan melalui aktivitas iklan malware (malvertising) yang akan mengeksploitasi celah keamanan RIG dan Grandsoft. Versi awalnya akan menambahkan ekstensi GDCB pada semua file yang berhasil dienkripsinya. Versi lanjutan GandCrab mengubah ekstensi file yang dienkripsinya menjadi .CRAB dan .KRAB.
Adapun uang tebusan yang diminta GandCrab besarnya 1.54 DASH (mata uang virtual sejenis bitcoin dan GandCrab adalah ransomware pertama yang meminta tebusan dalam mata uang Dash) atau sekitar Rp 17,5 juta rupiah.
PerbesarGandCrab yang paling mengkhawatirkan adalah versi teranyarnya, GandCrab V.5. Sebenarnya dari sisi kecanggihannya, GandCrab tidak termasuk ransomware yang terlalu rumit dan hanya termasuk ke dalam ransomware kelas sedang, namun tetap saja bisa menjadi ransomware yang paling sukses di tahun 2018 karena kegigihan pembuatnya jatuh bangun membuat varian baru.
ADVERTISEMENT
Dalam GandCrab V.5 yang perlu diwaspadai oleh para pengguna komputer bukan GandCrab-nya sendiri karena pada prinsipnya GandCrab V.5 tidak terlalu berbeda dengan V.4. Perbedaan yang signifikan adalah Exploit Kit yang digunakan oleh GandCrab V.5: Fallout Exploit Kit.
Ibarat RPG (Rocket Propelled Grenade) jika jatuh ke tangan orang awam atau prajurit yang kurang terlatih akan kurang bermanfaat, namun jika jatuh ke tangan orang yang ahli menggunakannya akan mengakibatkan kerugian yang luar biasa di mana bisa digunakan untuk menjatuhkan tank, truk tempur sampai helikopter sekalipun.
Vaksincom mengkhawatirkan penggunaan Fallout Exploit ini untuk malware dan ransomware lain dan aksi penyebaran ransomware yang lain menunjukkan bahwa Fallout Exploit kit mulai digunakan untuk menyebarkan ransomware lain.
ADVERTISEMENT
Namun karena tulisan ini memfokuskan pada GandCrab, saat ini penulis akan membatasi membahas mengenai GandCrab dan napak tilasnya dari awal 2018 sampai saat ini, Oktober 2018.
Napak Tilas GandCrab
Paket spam berbahaya yang mengandung email dengan lampiran berbahaya menyamar sebagai tanda terima dalam .PDF. Ketika file .PDF itu dibuka, malware berpura-pura membukakan CAPTCHA yang akan mengunduh file MS Word dan meminta korbannya untuk mengaktifkan Macro.
Jika korbannya percaya saja dan mengaktifkan Macro maka awal dari bencana mulai menerpa komputernya karena GandCrab akan diaktifkan menggunakan Powershell guna mengunduh dan menginstal GandCrab untuk menjalankan aksinya.
ADVERTISEMENT
GandCrab menyebarkan dirinya dengan memalsukan diri sebagai update font komputer yang bernama 'HoeflerText'. Akal bulus (rekayasa sosial) yang digunakan adalah situs yang dikunjungi akan dikacaukan secara sengaja sehingga pengunjungnya mengira ada masalah di komputernya.
Dan dengan cerdik malware ini menampilkan iklan yang menawarkan pengunjung untuk mengunduh dan menjalankan file guna memperbaiki masalah ini. Jika korbannya termakan dan mengklik 'Update' maka bukan update font yang dijalankan melainkan ransomware GandCrab yang menyaru sebagai update font yang akan dijalankan dan menginfeksi komputer korbannya.
GandCrab versi 2 dengan ekstensi baru CRAB yang akan ditambahkan pada nama file yang berhasil dienkripsi menggantikan versi 1 yang menggunakan ekstensi GDCB diluncurkan.
Versi 2 ini menambahkan Tox instant mesaging sebagai sarana untuk menghubungi pembuat malware dan halaman pembayaran disimpan pada situs TOR The Onion router yang baru.
ADVERTISEMENT
GandCrab V.3 meluncur menggunakan visual Basic Scripts untuk mengunduh malware dan kali ini pesan ransom/permintaan uang tebusan akan ditampilkan pada wallpaper komputer korbannya. GandCrab V.3 ini memiliki kesalahan pemrograman sehingga tidak dapat secara sempurna dijalankan pada Windows 7, namun Windows 8 dan Windows 10 akan dapat berjalan secara sempurna.
PerbesarGandCrab V.4 diluncurkan dan kembali nama ekstensi yang ditambahkan pada file yang berhasil dienkrip berubah menjadi .KRAB. Menurut pantauan pemerhati sekuriti, GandCrab V.4 menyebarkan dirinya melalui software crack sehingga hal ini perlu menjadi perhatian bagi para pengguna komputer yang akrab dengan crack guna meningkatkan kewaspadaan.
Pengguna komputer di Korea Selatan menjadi incaran GandCrab yang meluncurkan versi 4.3 dengan metode penyebaran melalui email yang memalsukan diri sebagai dokumen transaksi e-commerce dan mengeksploitasi file .egg. suatu sistem kompresi file yang menjadi standar digunakan di Korea Selatan.
ADVERTISEMENT
GandCrab V.5 menyebarkan dirinya melalui kampanye iklan internet dan berusaha mengarahkan korbannya ke situs yang telah dipersiapkan guna melakukan eksploitasi dengan Fallout Exploit kit. Dalam hal ini sebenarnya yang sangat mengkhawatirkan bukan GandCrab, melainkan Fallout Exploit kit itu sendiri.
Fallout Exploit kit merupakan exploit kit baru dan diduga merupakan pembaruan dari Nuclear Exploit kit. Fallout Exploit kit ini mengkhawatirkan karena dengan hanya mengunjungi situs yang mengandung eksploitasi sudah cukup untuk membuat sistem komputer terinfeksi ransomware.
Celah keamanan yang diserang juga relatif baru dan sistem yang tidak melakukan update VBS Visual Basic Script dan Adobe Player secara disiplin sudah dapat dipastikan akan berhasil menjadi korban serangan.
Dapat dipastikan Fallout Exploit kit akan terus digunakan oleh ransomware sampai akhir tahun 2018, bukan hanya oleh ransomware GandCrab saja melainkan ransomware lain, karena efektivitas dan cakupannya yang sangat luas yang akan mampu menjalankan malware/ransomware cukup hanya mengunjungi situs yang mengandung kode eksploitasi.
ADVERTISEMENT
Mencegah Ransomware
Dalam pertempuran menghadapi ransomware, pada awal ransomware diluncurkan program antivirus akan selalu kalah satu langkah dan pada umumnya program antivirus membutuhkan waktu proses analisa dan distribusi antara 7-14 hari sampai semua klien antivirus yang dilindunginya dapat mendeteksi ransomware tersebut.
Hal inilah yang dimanfaatkan dengan sangat baik oleh pembuat ransomware di mana mereka memanfaatkan celah tersebut dan setiap kali ransomware-nya berhasil dideteksi, mereka langsung meluncurkan varian ransomware baru.
Sebenarnya secara total jenis ransomware yang menyebar di tahun 2018 lebih sedikit dibandingkan tahun 2017, tetapi meskipun jumlahnya lebih sedikit, varian yang dikeluarkan sangat banyak di mana tujuan utamanya adalah mengeksploitasi celah waktu 7-14 hari program antivirus mendeteksi ransomware baru.
ADVERTISEMENT
Selain itu, terlihat kecenderungan ransomware yang mulai memfokuskan sasarannya pada komputer bisnis, kemungkinan karena korban ransomware yang membayar mayoritas adalah komputer yang digunakan untuk kegiatan bisnis yang jika terganggu operasionalnya akan menyebabkan kerugian finansial yang lebih besar dibandingkan membayar uang tebusan.
Salah satu sektor yang menjadi korban paling banyak dari ransomware adalah sektor rumah sakit. Sebenarnya sektor keuangan juga menjadi incaran ransomware, namun insiden yang dilaporkan jauh lebih kecil dari rumah sakit.
Kemungkinannya adalah sektor ini sudah melakukan backup datanya dengan baik atau bisa saja sebenarnya banyak yang menjadi korban dan membayar uang tebusan tetapi memilih untuk tidak mempublikasikan karena akan menyebabkan turunnya kredibilitas perusahaan.
ADVERTISEMENT
Agar jaringan komputer yang anda kelola dapat terproteksi dengan lebih baik dari ransomware ada baiknya untuk mempertimbangkan antivirus yang tidak tergantung pada update definisi, sehingga tidak memiliki kelemahan rentang waktu deteksi ransomware.
Selain itu, teknologi tambahan seperti Rollback dari Webroot, AntiRansomware dari Gdata akan dapat melindungi secara spesifik dari ransomware. (Lihat gambar 4)
PerbesarSelain mengandalkan perlindungan antivirus, ada beberapa standar yang dapat diterapkan dan dapat memotong aksi ransomware di tengah jalan seperti melakukan update patch secara otomatis sehingga terhindar dari eksploitasi seperti yang dilakukan oleh GandCrab.
Atau jika anda memiliki vendor sekuriti yang bisa memberikan support yang diandalkan, anda dapat meminta tips dan langkah tambahan yang akan menekan dampak ransomware dengan sangat signifikan seperti membatasi Java Script, Macro, dan melindungi restore point komputer.
ADVERTISEMENT
Namun pada akhirnya, langkah pamungkas untuk terlindung dari serangan ransomware hanya tiga kata: Backup... Backup... Backup.
