Ako ransomware, varian RaaS berbasis C++, muncul pada tahun 2020 dan menggunakan teknik seperti isolasi mesin yang ditargetkan serta manuver evasif untuk mengenkripsi sistem korban.
Beroperasi di bawah model RaaS, Ako memungkinkan afiliasi untuk menyebarkannya dengan imbalan dari pembayaran tebusan, menunjukkan potensi eksploitasi yang luas dan aktivitas ancaman yang persisten dari berbagai aktor yang memanfaatkan alat ransomware yang mudah diakses ini.
Proses Serangan
Grafik serangan ransomware Ako menggambarkan proses infeksi multi-tahap, di mana akses awal dicapai melalui eksploitasi kerentanan dalam Remote Desktop Protocol (RDP) atau dengan mengeksploitasi kelemahan di gerbang keamanan email.
Setelah pijakan terjalin, pergerakan lateral terjadi melalui penyalahgunaan alat administratif yang sah seperti PsExec dan WMI.
Ransomware kemudian melanjutkan untuk mengenkripsi file-file penting di sistem yang terkompromi, termasuk yang ada di share jaringan, sambil secara bersamaan menonaktifkan layanan keamanan dan menghapus salinan bayangan untuk menghalangi upaya pemulihan.
Teknik yang Digunakan
- Ingress Tool Transfer: Mengunduh dan menyimpan kode berbahaya ke sistem, melewati kontrol keamanan jaringan dan endpoint.
- Process Injection: Menjalankan kode berbahaya dalam ruang memori proses yang sah, menghindari deteksi oleh langkah-langkah keamanan.
- System Location Discovery: Menggunakan panggilan API Windows seperti GetSystemDefaultLCID, GetLocaleInfoA, dan GetUser DefaultLocaleName untuk mengumpulkan informasi tentang pengaturan bahasa sistem.
Informasi ini dikumpulkan untuk membantu dalam tahap serangan berikutnya, berpotensi untuk menargetkan kerentanan tertentu atau menyesuaikan serangan berdasarkan lokasi korban.
Dampak Serangan
Pada awalnya, penyerang mencegah sistem dari pemulihan dengan menghapus salinan bayangan volume menggunakan vssadmin.exe dan wmic.exe, kemudian mereka memodifikasi pengaturan registri untuk mengizinkan akses ke drive jaringan yang dipetakan.
Setelah itu, rekognisi jaringan dilakukan melalui panggilan API seperti GetAdaptersInfo dan IcmpSendEcho.
Pada tahap kedua, penyerang menemukan dan mendaftar drive lokal, direktori, dan file menggunakan GetLogicalDriveStringsW, FindFirstFileW, dan FindNextFileW. Akhirnya, ransomware mengenkripsi file yang ditargetkan menggunakan kombinasi RSA dan AES-256 dalam mode CBC, berdampak pada ketersediaan data.
Langkah-langkah Pencegahan
Untuk melawan ancaman ini secara efektif, prioritaskan fokus pada:
- Ingress Tool Transfer
- Process Injection
- Inhibit System Recovery
- Data Encrypted for Impact
Deteksi utilitas asli seperti PowerShell yang mengunduh payload berbahaya menggunakan kontrol keamanan endpoint dan jaringan.
Identifikasi proses yang terkompromi dengan memantau perilaku tidak biasa dari aplikasi yang sah. Terapkan pencegahan perilaku di endpoint dan perkuat manajemen akun istimewa.
Deteksi penghapusan Salinan Bayangan Volume melalui analisis aktivitas baris perintah. Gunakan strategi cadangan data, konfigurasikan pengaturan sistem operasi, dan tegakkan manajemen akun pengguna yang tepat.
Sumber : https://csirt.jakarta.go.id/