Tim keamanan perusahaan dapat menambahkan tiga varian ransomware lagi ke daftar ancaman ransomware yang terus berkembang yang perlu mereka pantau.
Tiga varian โ Vohuk, ScareCrow, dan AESRT โ seperti kebanyakan alat ransomware, menargetkan sistem Windows dan tampaknya berkembang biak relatif cepat pada sistem milik pengguna di banyak negara. Peneliti keamanan di FortiGuard Labs Fortinet yang melacak ancaman minggu ini menggambarkan sampel ransomware sebagai mendapatkan daya tarik dalam database ransomware perusahaan.
Analisis Fortinet dari ketiga ancaman menunjukkan mereka sebagai alat ransomware standar dari jenis yang bagaimanapun sangat efektif dalam mengenkripsi data pada sistem yang disusupi. Peringatan Fortinet tidak mengidentifikasi bagaimana operator sampel ransomware baru mendistribusikan malware mereka, tetapi mencatat bahwa email phishing biasanya menjadi vektor paling umum untuk infeksi ransomware.
Semakin Banyak Varian
โJika pertumbuhan ransomware pada tahun 2022 menunjukkan apa yang akan terjadi di masa depan, tim keamanan di mana pun harus berharap untuk melihat vektor serangan ini menjadi lebih populer pada tahun 2023,โ kata Fred Gutierrez, insinyur keamanan senior, di FortiGuard Labs Fortinet.
Hanya pada paruh pertama tahun 2022, jumlah varian ransomware baru yang diidentifikasi oleh FortiGuard Labs meningkat hampir 100% dibandingkan dengan periode enam bulan sebelumnya, katanya. Tim FortiGuard Labs mendokumentasikan 10,666 varian ransomware baru pada paruh pertama tahun 2022 dibandingkan dengan hanya 5,400 pada paruh kedua tahun 2021.
โPertumbuhan varian ransomware baru ini terutama berkat lebih banyak penyerang yang memanfaatkan ransomware-as-a-service (RaaS) di Dark Web,โ katanya.
Dia menambahkan: โSelain itu, mungkin aspek yang paling mengganggu adalah kami melihat peningkatan serangan ransomware yang lebih merusak dalam skala besar dan di hampir semua jenis sektor, yang kami perkirakan akan berlanjut hingga tahun 2023.โ
Strain Ransomware Standar tetapi Efektif
Varian ransomware Vohuk yang dianalisis oleh para peneliti Fortinet tampaknya berada dalam iterasi ketiganya, menunjukkan bahwa pembuatnya secara aktif mengembangkannya.
Malware menjatuhkan catatan tebusan, "README.txt," pada sistem yang disusupi yang meminta korban untuk menghubungi penyerang melalui email dengan ID unik, kata Fortinet. Catatan tersebut memberi tahu korban bahwa penyerang tidak bermotivasi politik tetapi hanya tertarik pada keuntungan finansial โ mungkin untuk meyakinkan korban bahwa mereka akan mendapatkan kembali data mereka jika mereka membayar uang tebusan yang diminta.
Sementara itu, "ScareCrow adalah ransomware tipikal lainnya yang mengenkripsi file di mesin korban," kata Fortinet. "Catatan tebusan, juga berjudul 'readme.txt,' berisi tiga saluran Telegram yang dapat digunakan korban untuk berbicara dengan penyerang."
Meskipun catatan tebusan tidak berisi tuntutan keuangan khusus, dapat diasumsikan bahwa korban perlu membayar uang tebusan untuk memulihkan file yang dienkripsi, kata Fortinet.
Penelitian vendor keamanan juga menunjukkan beberapa tumpang tindih antara ScareCrow dan yang terkenal Varian ransomware Conti, salah satu alat ransomware paling produktif yang pernah ada. Keduanya, misalnya, menggunakan algoritme yang sama untuk mengenkripsi file, dan seperti Conti, ScareCrow menghapus salinan bayangan menggunakan utilitas baris perintah WMI (wmic) untuk membuat data tidak dapat dipulihkan pada sistem yang terinfeksi.
Pengajuan ke VirusTotal menunjukkan bahwa ScareCrow telah menginfeksi sistem di Amerika Serikat, Jerman, Italia, India, Filipina, dan Rusia.
Dan terakhir, AESRT, keluarga ransomware baru ketiga yang baru-baru ini ditemukan Fortinet, memiliki fungsi yang mirip dengan dua ancaman lainnya. Perbedaan utamanya adalah alih-alih meninggalkan catatan tebusan, malware mengirimkan jendela popup dengan alamat email penyerang, dan bidang yang menampilkan kunci untuk mendekripsi file terenkripsi setelah korban membayar tebusan yang diminta.
Akankah Crypto-Collapse Memperlambat Ancaman Ransomware?
Varian baru menambah panjang โ dan terus bertambah โ daftar ancaman ransomware yang sekarang harus dihadapi organisasi setiap hari, karena operator ransomware terus menyerang organisasi perusahaan tanpa henti.
Data serangan ransomware yang dianalisis oleh LookingGlass awal tahun ini menunjukkan ada beberapa 1,133 serangan ransomware yang dikonfirmasi pada paruh pertama tahun 2022 saja โ lebih dari setengah (52%) di antaranya memengaruhi perusahaan AS. LookingGlass menemukan grup ransomware yang paling aktif adalah di belakang varian LockBit, diikuti oleh grup di belakang Conti, Black Basta, dan Alphy ransomware.
Namun, tingkat aktivitasnya tidak stabil. Beberapa vendor keamanan melaporkan mengamati sedikit pelambatan dalam aktivitas ransomware selama beberapa bagian tahun ini.
Dalam laporan tengah tahun, SecureWorks, misalnya, mengatakan keterlibatan respons insiden pada Mei dan Juni menunjukkan tingkat keberhasilan serangan ransomware baru yang terjadi sedikit melambat.
SecureWorks mengidentifikasi tren yang mungkin terjadi, setidaknya sebagian, dengan gangguan operasi Conti RaaS tahun ini dan faktor lain seperti efek mengganggu dari perang di Ukraina pada geng ransomware.
Laporan lain, dari Identity Theft Resource Center (ITRC), melaporkan penurunan 20% dalam serangan ransomware yang mengakibatkan pelanggaran selama kuartal kedua tahun 2022 dibandingkan dengan kuartal pertama tahun ini. ITRC, seperti SecureWorks, mengidentifikasi penurunan tersebut berkaitan dengan perang di Ukraina dan, secara signifikan, dengan jatuhnya cryptocurrency yang disukai operator ransomware untuk pembayaran.
Bryan Ware, CEO LookingGlass, mengatakan dia yakin keruntuhan crypto dapat menghambat operator ransomware pada tahun 2023.
โSkandal FTX baru-baru ini memiliki cryptocurrency tanking, dan ini memengaruhi monetisasi ransomware dan pada dasarnya membuatnya tidak dapat diprediksi,โ katanya. โIni bukan pertanda baik bagi operator ransomware karena mereka harus mempertimbangkan bentuk monetisasi lain dalam jangka panjang.โ
Ware mengatakan tren seputar cryptocurrency memiliki beberapa grup ransomware yang mempertimbangkan untuk menggunakan mata uang kripto mereka sendiri: "Kami tidak yakin ini akan terwujud, tetapi secara keseluruhan, grup ransomware khawatir tentang bagaimana mereka akan memonetisasi dan mempertahankan beberapa tingkat anonimitas di masa mendatang."
