Ara-Gen - Pada 2020 banyak perusahaan di dunia menjadi korban ransomware “Nefilim”. Salah satunya, perusahaan logistik dan transportasi asal Australia, Toll Group, yang berdampak pada operasional bisnisnya.
Perusahaan tersebut sering digunakan raksasa e-commerce seperti eBay untuk mengangkut komoditas massal, suku cadang penting, dan pasokan medis.
Karena enggan membayar tebusan yang diminta, geng Nefilim membocorkan data berukuran 200 gigata (GB) yang dicuri. Data tersebut berupa rincian informasi karyawan, termasuk faktur hasil pemeriksaan medis dan laporan keuangan.
Bagaimana Nefilim menginfeksi korban?
Menurut perusahaan keamanan siber asal Jepang, Trend Micro, diakses Rabu (28 April 2021), Nefilim ialah salah satu ransomware yang menggunakan taktik pemerasan ganda serangannya, seperti geng ransomware Maze.
Nefilim tidak hanya mengenkripsi data komputer korban, tapi meminta sejumlah tebusan. Jika enggan membayar tebusan yang diminta, peretas mengancam akan merilis data–data perusahaan yang dicuri.
Ransomware tersebut pertama kali ditemukan pada Maret 2020. Trend Micro meyakininya sebagai evolusi dari ransomware “Nemty” karena memiliki beberapa kemiripan.
Kode Nefilim memiliki banyak kesamaan penting dengan Nemty 2.5; perbedaan utamanya adalah Nefilim telah menghilangkan komponen Ransomware-as-a-Service (RaaS). Mereka juga mengelola pembayaran melalui komunikasi email daripada melalui situs web pembayaran Tor.
Untuk akses awal, operator Nefilim cenderung memanfaatkan berbagai cara untuk menyebarkan malware mereka. Mereka memanfaatkan kerentanan Remote Desktop Protocol (RDP) atau kerentanan Citrix (CVE-2019-19781) dan menggunakan serangan brute force untuk menyusupi sistem korban.
“Nefilim juga menggunakan alat lain untuk mengumpulkan kredensial seperti imikatz, LaZagne, dan NetPass NirSoft. Kredensial yang dicuri digunakan untuk menjangkau server,” tulis Trend Micro.
Setelah berhasil masuk kedalam sistem korban, operator akan mulai menjalankan komponennya, seperti anti-antivirus, alat eksfiltrasi, dan terakhir Nefilim itu sendiri.
Peretas akan menggunakan beberapa alat yang sah untuk gerakan lateral menyebar di komputer korban. Misalnya, ia menggunakan PsExec atau Windows Management Instrumentation (WMI), menjatuhkan dan menjalankan komponen lain, termasuk ransomware itu sendiri.
Nefilim diamati menggunakan file batch untuk menghentikan proses dan layanan tertent, bahkan menggunakan alat pihak ketiga seperti PC Hunter, Process Hacker, dan Revo Uninstaller untuk menghentikan proses, layanan, dan aplikasi terkait antivirus. Termasuk, menggunakan AdFind, BloodHound, atau SMBTool untuk mengidentifikasi direktori aktif dan/atau mesin yang terhubung ke domain.
Salah satu aspek terpenting dari Nefilim adalah kemampuan eksfiltrasi data. Peneliti mengamati Nefilim menyalin data dari server atau direktori bersama ke direktori lokal dan mengarsipkannya menggunakan 7-Zip. Kemudian, menggunakan MEGAsync untuk mengekstrak data korbannya.
Sementara itu, untuk mengenkripsi data korban, Nefilim menggunakan AES-128. Kemudian kunci enkripsi AES ini akan dienkripsi kembali menggunakan kunci publik RSA 2408.
Oleh karenanya, untuk mendekripsi file yang terkunci, perlu mendapatkan kunci privat RSA penyerang. Untuk setiap file yang terenkripsi, Nefilim akan menambahkan ekstensi .NEFILIM pada nama file, sebagai penanda file ke semua file terenkripsi, misalnya, file bernama 1.doc akan diberi nama 1.doc.NEFILIM.”
Menurut Badan Siber dan Sandi Negara (BSSN) Indonesia setelah proses eksploitasi selesai dibuka, file catatan tebusan bernama NEFILIM-DECRYPT.txt akan dibuat oleh operator diseluruh sistem. File tersebut akan berisi petunjuk tentang bagaimana cara menghubungi operator serta ancaman pembocoran data yang menekan korban jika tebusan tidak dibayarkan dalam waktu tujuh hari.
Bahkan, operator Nefilim menyediakan tautan ke situs web yang digunakan penyerang untuk membocorkan data korban.
Bagaimana mencegah Nefilim?
 |
| 2SPYWAR/Penyerangan Ransomware Nefilim |
BSSN mengatakan, dalam beberapa insiden siber, Nefilim akan diseksekusi setelah penyerang berhasil masuk ke jaringan korban. Selanjutnya, penyerang bisa mengambil data.
Jika menjadi korban dari serangan Nefilim, BSSN menyarankan agar perusahaan tidak membayar tebusan karena penyerang akan tetap memiliki akses ke data-data tersebut meskipun perusahaan membayar tebusan.
Berikut beberapa langkah yang dapat digunakan sebagai upaya pencegahan Nefilim ransomware;
Menutup port RDP yang tidak digunakan. Jika tidak memungkinkan untuk menutupnya, batasi source addresses yang dapat mengakses port.
Konfigurasi pengaturan untuk memastikan bahwa hanya pengguna resmi yang dapat memperoleh akses sebagai admin RDP. Untuk akun administrator RDP, gunakan kata sandi yang kuat dan multi-factor authentication (MFA).
- Lakukan monitoring jaringan untuk melihat tanda-tanda serangan.
- Batasi jumlah upaya login gagal untuk mencegah login yang tidak sah.
- Gunakan filter spam dan antivirus untuk mendeteksi dan memfilter email berbahaya.
- Selalu pastikan komputer mendapatkan patch terbaru dan pembaruan terbaru.
- Melakukan scanning komputer menggunakan antivirus dengan pembaruan terbaru.
- Selalu mengaktifkan firewall pada komputer.
- Lakukan back-up data secara berkala dengan melakukan back-up pada media penyimpanan eksternal.
- Jangan membuka email yang mencurigakan dan waspada pada setiap link yang diterima.
- Jangan mengunduh atau menggunakan crack perangkat lunak dan perangkat lunak illegal.
- Berhati-hatilah dengan perangkat eksternal yang disambungkan ke komputer dan saat meng-install program gratis yang diunduh di internet.
- Matikan file sharing jika tidak diperlukan. Jika file sharing diperlukan, sebaiknya gunakan ACL dan kata sandi untuk membatasi akses. Nonaktifkan anonymous access untuk shared folder.
Posting Komentar