Sophos ungkap ransomware MegaCortex

JAKARTA (IndoTelko) – Sophos mengungkap kehadiran ransomware terbaru MegaCortex sebagai malware yang  relatif terlihat kecil tapi melonjak volumenya pada 1 Mei.

Sophos sudah mendeteksi kemunculan MegaCortex di AS, Kanada, Argentina, Itali, Belanda, Perancis, Irlandia, Hongkong, Indonesia dan Australia.

Ransomware ini memiliki komponen manual yang menyerupai Ryuk dan BitPaymer, namun penjahat di belakang MegaCortex menggunakan alat yang lebih terotomasi untuk melancarkan serangan.

Hingga saat ini, Sophos telah melihat serangan otomatis, serangan manual, dan serangan gabungan yang cederung menggunakan teknik meretas manual untuk bergerak secara lateral; dengan MegaCortex, Sophos melihat penggunaan yang condong pada serangan otomatis dikombinasi dengan komponen. Formula baru ini dirancang untuk menyebarkan infeksi kepada lebih banyak korban dan lebih cepat.

Dalam artikel SophosLabs Uncut, MegaCortex Ransomware Wants to be TheOne,  bahwa tidak terdapat nilai eksplisit untuk permintaan tebusan dalam catatan tebusan.

Para penyerang mengundang korban untuk mengirimkan email kepada penyerang ke dua alamat email gratis mail.com dan mengirimkan file yang dimasukan ransomware ke hard drive korban untuk meminta “layanan” dekripsi. Catatan tebusan juga menyatakan, para penjahat siber “akan memasukan jaminan bahwa perusahaan Anda tidak akan merasa terganggu oleh kami”. Jika para korban membayar tebusan, catatan tebusan akan berlanjut dengan “Anda akan mendapatkan konsultasi mengenai cara meningkatkan keamanan siber perusahaan Anda.”

Ternyata terdapat korelasi kuat antara kehadiran dari MegaCortex, dan yang ada sebelumnya, yang masih menjangkiti jaringan para korban, baik dengan Emotet atau Qbot. Jika manajer TI melihat peringatan akan virus Emotet atau Qbot, peringatan tersebut harus mendapatkan prioritas tinggi. Kedua bot dapat digunakan untuk menyebarkan malware, dan kemungkinan ini lah cara infeksi MegaCortex memulainya.

Hingga saat ini Sophos belum melihat indikasi bahwa Remote Desktop Protocol (RDP) telah disalahgunakan untuk meretas masuk ke jaringan, tetapi kami tahu lubang-lubang dalam firewall perusahaan yang umumnya memungkinkan adanya koneksi ke RDP. Kami melarang praktek ini dan menyarankan semua admin TI yang ingin melakukan praktek ini untuk menyimpan mesin RDP dengan VPN.

Karena serangan mengindikasikan bahwa kata sandi administratif telah disalahgunakan oleh penjahat siber, kami juga merekomendasikan penyebaran adopsi dari otentikasi dua faktor sebisa mungkin.

Melakukan backup secara berkala untuk data Anda yang penting dan baru pada perangkat penyimpanan offline adalah cara terbaik untuk menghindar dari kewajiban membayar uang tebusan.

Gunakan perlindungan anti-ransomware seperti Sophos Intercept X, untuk memblokir MegaCortex dan ransomware lainnya di masa depan.

Penasihat Keamanan Senior Sophos John Shier menduga ini adalah “paket jumbo” script kiddie/living-off-the-land dan merupakan contoh yang bagus mengenai apa yang akhir-akhir ini disebut sebagai pengujian penetrasi penjahat siber.

Penyerang MegaCortex telah menggunakan pendekatan ancaman gabungan dan menaikkannya hingga 11 dengan meningkatkan jumlah komponen otomatis dalam menyerang korban.

"Begitu mereka mendapatkan kredensial admin TI Anda, tidak ada yang dapat menghentikan serangan mereka. Melancarkan serangan dari pengendali hunian Anda sendiri adalah cara hebat para penyerang untuk mendapatkan otoritas yang mereka butuhkan untuk memberikan dampak menyeluruh pada sebuah organisasi. Organisasi harus memberikan perhatian kepada kendali keamanan dasar dan melakukan pemeriksaan keamanan, sebelum para penjahat mengendalikannya, untuk mencegah penyerang seperti ini menyelinap masuk,” katanya.(wn)