Network
PORTAL PEKALONGAN - Siapakah Conti Ransomware? Apa modus gerombolan hecker itu meretas data lembaga-lembaga pemerintahan dan perusahaan-perusahaan besar di dunia?
Terbaru, dikabarkan Bank Indonesia (BI) mengalami kebocoran data sebagai korban peretasan oleh gerombolan hecker bernama Conti Ransomware.
Diberitakan sebelumnya, Kadiv Humas Polri Irjen Pol Dr Dedi Prasetyo MHum MSi MM mengatakan telah menerima informasi peretasan tersebut dan akan menindaklanjuti dengan berkomunikasi ke bank sentral.
Baca Juga: Data Bank Indonesia Diretas Gerombolan Conti Ransomware, Tengah Ditelusuri Mabes Polri
“Infonya mau dikomunikasikan dulu dengan pihak BI terkait isu tersebut,” ujar Kadiv Humas Polri, Irjen Pol Dedi Prasetyo, dikutip Portalpekalongan.com dari Tribratanews.polri.go.id, Jumat 21 Januari 2022.
Siapakah Conti Ransomware? Dilansir Portalpekalongan.com dari Heimdalsecurity.com, Jumat 21 Januari 2022, Conti Ransomware adalah hecker jahat yang sangat merusak karena kecepatan mengenkripsi data dan menyebar ke berbagai sistem.
Aksi kejahatan dunia maya oleh Conti Ransomware diduga dipimpin oleh gerombolan hecker berbasis di Rusia yang menggunakan nama samaran Wizard Spider.
Baca Juga: 21 Orang Tewas dalam Kecelakaan Maut di Balikpapan, akibat Rem Blong Truk Tronton
Modus Operandi dari Ransomware
Kelompok hecker Conti Ransomware menggunakan serangan phishing untuk menginstal Trojan TrickBot dan BazarLoader untuk mendapatkan akses jarak jauh ke mesin yang terinfeksi.
Email tersebut menggunakan klaim yang berasal dari pengirim yang dipercaya oleh korban dan menggunakan tautan untuk mengarahkan pengguna ke dokumen yang dimuat secara jahat.
Dokumen di Google Drive itu memiliki muatan berbahaya, dan setelah dokumen diunduh, malware terhubung ke perangkat dan jaringan server milik korban.
Setelah Conti Ransomware menyusup ke mesin sistem data, selanjutnya mengenkripsi data dan menggunakan skema pemerasan dua langkah.
Baca Juga: 5 Keutamaan Membaca Surat Al Waqiah, Salah Satunya Dijauhkan dari Kemiskinan
Modus pemerasan ganda, juga dikenal sebagai pay-now-or-get-breached mengacu pada strategi Conti Ransomware yang berkembang dan cara kerjanya adalah penyerang pada awalnya mengekstrak sejumlah besar informasi pribadi, kemudian mengenkripsi file korban.
Setelah proses enkripsi selesai, penyerang akan mengancam untuk menggunakan data tersebut tersedia untuk umum, kecuali korban bersedia membayar sejumlah besar dana yang mereka tawarkan sebagai aksi memeras.
Skema ini dimulai dengan permintaan tebusan sebagai imbalan atas kunci dekripsi dan ditindaklanjuti dengan mekanisme pemerasan.
Pada tahap ini, pelaku kejahatan akan mengungkapkan sejumlah kecil data terenkripsi, dengan ancaman merilis materi tambahan jika uang tebusan tidak dibayarkan.
Baca Juga: Jangan sampai Pingsan karena Darah Rendah, Ikuti Tips dr Zaidul Akbar Tanpa Minum Obat
Analisis Perilaku Conti Ransomware
Menarik untuk dicatat bahwa Conti Ransomware menggunakan metode multithreading selain menggunakan enkripsi agar dapat menyebar dengan cepat setelah menyerang jaringan, sehingga sulit untuk dihentikan.
Conti Ransomware juga dapat menyebar melalui Server Message Block (SMB). Ini sebenarnya bagaimana mereka dapat mengenkripsi data pada mesin lain dalam jaringan.
Entri Awal
Untuk menembus sistem korban, operator Conti Ransomware akan menggunakan berbagai macam taktik.
Peretas biasanya akan mulai dengan mencoba membujuk seorang karyawan untuk membagikan kredensial, biasanya menggunakan pendekatan rekayasa sosial.
Baca Juga: Jangan Asal Menyantuni Anak Yatim, Akan Berdosa Jika Seperti ini Menurut Buya Yahya
Terkadang mereka juga mencoba mengeksploitasi firewall yang rentan atau menyerang server Remote Desktop Protocol (RDP) dalam jaringan internet.
Eskalasi Hak Istimewa
Setelah membuat akses jaringan, penyerang biasanya akan mencoba mendapatkan akses ke akun admin domain.
Ini akan memungkinkan mereka untuk menjalankan kode ransomware. Saat ini mereka juga akan mencoba untuk mendapatkan akses ke akun istimewa yang memungkinkan mereka mencuri informasi penting (termasuk cadangan).
Mereka mungkin mencoba untuk menonaktifkan perangkat lunak manajemen keamanan dalam beberapa situasi sehingga mereka dapat bergerak secara lateral di sekitar jaringan tanpa diketahui.
Baca Juga: Rumah Sakit Harus Siap Hadapi Kebencanaan, Begini Selengkapnya
Pengintaian
Untuk membantu mereka mengatur serangan, penyerang Conti Ransomware umumnya akan memindai jaringan Anda untuk mencari server, titik akhir, cadangan, data sensitif, aplikasi, dan perangkat lunak perlindungan.
Mereka akan menggunakan pemindai port populer seperti 'Angry IP Scanner' atau 'Advanced Port Scanner' untuk menyusun daftar alamat IP. Selanjutnya, mereka akan mengumpulkan daftar nama server untuk mencari petunjuk tentang tujuan mereka. Pengontrol Domain, misalnya, kemungkinan akan diberi nama DC1.
Pemanenan Data
Sebelum menjalankan kode ransomware, penyerang akan berusaha mencuri sebanyak mungkin data penting bisnis. Teknologi penemuan data sering digunakan oleh penyerang untuk mengidentifikasi data sensitif.
Baca Juga: Baca Doa ini agar Menjadi Manusia yang Bersyukur dan Rendah Hati
Seperti yang Anda duga, penyerang dapat mengekstrak data dalam berbagai metode. Mereka dapat menyimpan file di server mereka sendiri, mengirimkannya melalui email, atau mengunggahnya ke satu atau lebih wadah penyimpanan cloud anonim.
Penyebaran Ransomware
Mereka akan meluncurkan serangan ransomware setelah mereka mengekstrak data sebanyak mungkin, menghapus/mengenkripsi cadangan apa pun, menonaktifkan langkah-langkah keamanan yang diperlukan.
Di sebagian besar situasi, mereka akan menggunakan semacam eksekusi kode jarak jauh untuk mendistribusikan perangkat lunak ransomware saat tidak ada admin online.
Skrip batch akan digunakan untuk mengulang daftar alamat IP yang teridentifikasi untuk menyebarkan kode ke sebanyak mungkin server dan titik akhir. Dalam kasus lain, mereka menginfeksi skrip log on di Objek Kebijakan Grup (GPO), yang menjalankan kode setiap kali komputer dinyalakan dan bergabung dengan domain.
Baca Juga: Doa Agar Diberi Kecukupan Rezeki, Lengkap dengan Bahasa Arab, Latin dan Artinya
Pemantauan Aktivitas
Seperti yang telah kami jelaskan sebelumnya, penyerang akan sering memasang pintu belakang untuk memantau cara korban bereaksi terhadap serangan tersebut. Mereka mungkin juga mengawasi email untuk melihat bagaimana rencana korban untuk melanjutkan proses rehabilitasi.
Jika korban mencoba memulihkan file mereka untuk menghindari membayar uang tebusan, penyerang dapat memulai serangan kedua untuk menunjukkan visibilitas dan pengaruh mereka terhadap jaringan korban.***
