Mamba ransomware adalah satu dari malware yang menyerang perangkat keras dan bukan menyerang file/arsip yang telah terdeteksi sejauh ini dalam sejarah serangan publik.
Mamba memanfaatkan pengarsipan perangkat penyimpan dibandingkan menyerang file-file konvensional pada biasanya.
Ransomware yang sama, yang dikenal Petya, menggemparkan publik dengan berbagai macam serangan besar di berbagai belahan dunia. Contoh kasus pertama Mamba ransomware ditemukan menggunakan alat enkripsi open source dikenal dengan DiskCryptor yang mampu mengenkripsi data dengan baik.
Biasanya Mamba menyerang organisasi yang telah di tetapkan di Brazil, ransomware jenis ini juga pernah digunakan oleh penjahat yang menyerang San Francisco Municipal Transportation Agency (SFMTA) yang merupakan salah satu perusahaan agen perjalanan yang berada di San Francisco, Amerika Serikat, pada bulan November 2016.
Tidak seperti serangan NotPetya, Mamba juga sepertinya dirancang untuk melakukan sabotase, tidak jelas bahwa malware ini dibuat oleh penjahat atau aktor diluar pemerintahan.
Tidak seperti serangan NotPetya, tidak terkecuali para korban Mamba dapat membongkar data penting yang telah di sabotase tersebut.
"Pencipta malware akan menghapus semua akses dan membuka mesin korban. Misalnya, jika anda ingat malware ExPetr, ExPetr menggunakan sebuah mesin pengacak sandi yang ditujukan untuk mengunci data korban, namun trojan tersebut tidak menyimpan kunci pembuka lebih lanjut," kata periset Kaspersky Lab, Orkhan Memedov. "Jadi, kita memiliki alasan untuk menyebut pelaku ini sebagai "Wiper" atau penghapus data. Namun, pada kasus Mamba, kunci untuk membuka trojan tersebut dimasukan kedalam perintah dan maksud tujuan dibuat malware tersebut, maksudnya adalah si pelaku kriminal mengetahui kunci, teorinya, pelaku kriminal tersebut mampu membuka kembali perangkat tersebut."
Mamba pertama kali ditemukan pada September 2016 ketika seorang ahli dari Morphus Labs menemukan perangkat yang terinfeksi tersebut masuk kedalam sebuah perusahaan energi di Brazil berikut dengan anak perusahaannya yang berada di Amerika Serikat dan India.
Para peneliti berbagi detail kejadian serta analisisnya pada Security Affairs, mereka menjelaskan bahwa sekali malware menginfeksi sebuah perangkat berbasis Windows, ini akan menimpa Master Boot Record yang ada, dengan Master Boot Record yang di modifikasi dan mengunci perangkat keras menggunakan DiskCryptor tool.
"Sayangnya tidak ada jalan lain untuk membongkar data yang telah dikunci menggunakan alat DiskCryptor, karena legitimasi alat ini menggunakan algoritma pengunci yang kuat," menurut penjelasan Kaspersky Lab.
Contoh terakhir dari Mamba ransomware menunjukan sebuah catatan yang harus ditebus yang tidak biasa yakni jumlah uang tebusan yang diminta seperti Mamba yang asli, ransomware ini menyediakan dua (2) alamat email dan sebuah nomor ID yang digunakan untuk membongkar pengunci perangkat yang dimaksud.
Para pelaku ancaman dibalik gelombang serangan Mamba ransomware memanfaatkan alat PSEXEC untuk mengeksekusi malware yang sudah menjalar ke jaringan-jaringannya yang telah terinfeksi. PSEXEC adalah alat yang sama yang digunakan NotPetya untuk menyebarkan ke semua target yang telah ditetapkan.
Rantai serangan yang telah digambarkan Kaspersky memiliki 2 fase, pertama pelaku memasang alat DiskCryptor ke sebuah folder yang dibuat oleh malware. Cara ini diperoleh dengan mendaftarkan layanan sistem yang disebut DefragmentService, kemudian sistem di-reboot.
Fase berikutnya adalah mempersiapkan bootloader yang baru dan mengunci partisi perangkat penyimpan menggunakan DiskCryptor, lalu perangkatnya di reboot.
Sumber
Tidak ada komentar:
Posting Komentar