cover | topik.id |
Serangan Ymir dilaporkan menyebar melalui email phishing dan tautan mencurigakan, mengincar individu dan perusahaan tanpa pandang bulu.
Menurut laporan perusahaan keamanan, Kaspersky mengungkapkan tim tanggap darurat global Kaspersky telah mengidentifikasi jenis ransomware yang sebelumnya tidak terlihat dan aktif digunakan, yang digunakan dalam serangan setelah pencurian kredensial karyawan.
"Ransomware yang dijuluki "Ymir" ini menggunakan metode enkripsi dan siluman yang canggih. Ransomware ini juga secara selektif menargetkan file dan berupaya menghindari deteksi," ungkapnya dalam laporan yang dirilis di laman resminya, dikutip Minggu (17/11/2024).
Selain itu, Ransomware Ymir memperkenalkan kombinasi unik fitur teknis dan taktik yang meningkatkan efektivitasnya. Teknik manipulasi memori yang tidak umum untuk penyamaran . Pelaku ancaman memanfaatkan campuran fungsi manajemen memori yang tidak konvensional, malloc, memmove, dan memcmp, untuk mengeksekusi kode berbahaya secara langsung di dalam memori.
"Pendekatan ini menyimpang dari alur eksekusi berurutan yang umum terlihat pada jenis ransomware yang tersebar luas, meningkatkan kemampuan penyamarannya. Lebih jauh, Ymir fleksibel: dengan menggunakan perintah --path, penyerang dapat menentukan direktori tempat ransomware harus mencari file. Jika file ada di daftar putih, ransomware akan melewatinya dan membiarkannya tidak terenkripsi. Fitur ini memberi penyerang kontrol lebih atas apa yang dienkripsi atau tidak," terang dalam laporan itu.
Penggunaan malware pencuri data.
Dalam serangan yang diamati oleh para ahli Kaspersky, yang terjadi pada sebuah organisasi di Kolombia, pelaku ancaman menggunakan RustyStealer, sejenis malware yang mencuri informasi, untuk mendapatkan kredensial perusahaan dari para karyawan. Ini kemudian digunakan untuk mendapatkan akses ke sistem organisasi dan mempertahankan kendali cukup lama untuk menyebarkan ransomware.
Jenis serangan ini dikenal sebagai perantara akses awal, di mana penyerang menyusup ke sistem dan mempertahankan akses. Biasanya, perantara akses awal menjual akses yang mereka peroleh di web gelap kepada penjahat dunia maya lainnya, tetapi dalam kasus ini, mereka tampaknya melanjutkan serangan itu sendiri dengan menyebarkan ransomware.
"Jika para perantara itu memang aktor yang sama yang menyebarkan ransomware, ini dapat menandakan tren baru, yang menciptakan opsi pembajakan tambahan tanpa bergantung pada kelompok Ransomware-as-a-Service (RaaS) tradisional ,” jelas Cristian Souza, Spesialis Respons Insiden di Kaspersky Global Emergency Response Team.
Catatan tebusan Ymir.
Algoritma enkripsi tingkat lanjut. Ransomware ini menggunakan ChaCha20 , sebuah stream cipher modern yang dikenal karena kecepatan dan keamanannya, bahkan mengungguli Advanced Encryption Standard (AES).
Meskipun pelaku ancaman di balik serangan ini belum membagikan data curian apa pun secara publik atau mengajukan tuntutan lebih lanjut, para peneliti memantaunya secara ketat untuk setiap aktivitas baru.
"Kami belum mengamati adanya kelompok ransomware baru yang muncul di pasar gelap. Biasanya, penyerang menggunakan forum atau portal bayangan untuk membocorkan informasi sebagai cara untuk menekan korban agar membayar tebusan, yang tidak terjadi pada Ymir. Mengingat hal ini, pertanyaan tentang kelompok mana yang berada di balik ransomware tersebut masih terbuka, dan kami menduga ini mungkin merupakan kampanye baru ," tambah Cristian Souza.
Dalam upaya mencari nama untuk ancaman baru tersebut, para ahli Kaspersky mempertimbangkan bulan Saturnus yang disebut Ymir. Bulan tersebut merupakan bulan "tidak beraturan" yang bergerak berlawanan arah dengan rotasi planet tersebut – suatu sifat yang secara menarik menyerupai perpaduan fungsi manajemen memori yang tidak konvensional yang digunakan dalam ransomware baru tersebut.
Kaspersky kini dapat mendeteksi ransomware ini sebagai Trojan-Ransom.Win64.Ymir.gen. Para ahli perusahaan merekomendasikan langkah-langkah umum berikut untuk mengurangi serangan ransomware:
- Terapkan jadwal pencadangan yang sering dan lakukan pengujian berkala.
- Memberikan karyawan pelatihan keamanan siber secara berkala untuk meningkatkan kewaspadaan mereka terhadap ancaman siber seperti malware pencuri data, dan untuk mengajarkan strategi mitigasi yang efektif.
- Jika Anda telah menjadi korban ransomware dan belum ada dekripsi yang diketahui, simpan file terenkripsi yang penting. Solusi dekripsi dapat muncul dalam upaya penelitian ancaman yang sedang berlangsung atau jika pihak berwenang berhasil menguasai pelaku di balik ancaman tersebut.
- Disarankan untuk tidak membayar tebusan. Membayar tebusan mendorong pembuat malware untuk melanjutkan operasinya, tetapi tidak menjamin pengembalian file yang aman dan dapat diandalkan.
- Untuk melindungi perusahaan dari berbagai ancaman, gunakan solusi dari lini produk Kaspersky Next yang menyediakan perlindungan waktu nyata, visibilitas ancaman, investigasi, dan kemampuan respons EDR dan XDR untuk organisasi dengan berbagai ukuran dan industri. Bergantung pada kebutuhan Anda saat ini dan sumber daya yang tersedia, Anda dapat memilih tingkatan produk yang paling relevan, dengan fleksibilitas untuk bermigrasi dengan mudah ke tingkatan lain seiring dengan perkembangan persyaratan keamanan siber Anda. Kurangi permukaan serangan Anda dengan menonaktifkan layanan dan port yang tidak digunakan.
- Terapkan layanan keamanan terkelola oleh Kaspersky seperti Compromise Assessment , Managed Detection and Response (MDR) dan/atau Incident Response , yang mencakup seluruh siklus manajemen insiden—mulai dari identifikasi ancaman hingga perlindungan dan perbaikan berkelanjutan. Layanan ini membantu melindungi dari serangan siber yang sulit dideteksi, menyelidiki insiden, dan mendapatkan keahlian tambahan meskipun perusahaan kekurangan pekerja keamanan.