Ransomware Baru Gunakan Bitlocker Incar Data Perusahaan
![Ransomware Baru Gunakan Bitlocker Incar Data Perusahaan](https://disk.mediaindonesia.com/thumbs/800x467/news/2024/05/1dd1490b9b0c467ddae7b94a6a01dabd.jpg)
KASPERSKY telah mengidentifikasi serangan ransomware menggunakan BitLocker Microsoft untuk percobaan mengenkripsi file perusahaan.
Pelaku ancaman menghapus opsi pemulihan atau recovery untuk mencegah pemulihan file serta menggunakan skrip berbahaya dengan fitur baru: mampu mendeteksi versi Windows tertentu dan mengaktifkan BitLocker sesuai dengan versi Windows.
Insiden ransomware yang dijuluki ShrinkLocker dan variannya itu diamati di Meksiko, Indonesia, dan Yordania.
Baca juga : 20% Pengguna Komputer di Indonesia Jadi Korban Serangan Siber
Para pelaku menargetkan perusahaan-perusahaan di bidang manufaktur baja, dan vaksin, serta entitas pemerintahan.
Tim Kaspersky Global Emergency Response melaporkan para pelaku ancaman menggunakan VBScript – bahasa pemrograman yang digunakan untuk mengotomatisasi tugas-tugas pada komputer Windows – untuk membuat skrip berbahaya dengan fitur-fitur yang sebelumnya tidak dilaporkan guna memaksimalkan kerusakan akibat serangan tersebut.
Kebaruannya adalah skrip memeriksa versi Windows yang saat itu diinstal pada sistem dan mengaktifkan fitur BitLocker yang sesuai. Dengan cara ini, skrip tersebut diyakini dapat menginfeksi sistem baru dan lama hingga Windows Server 2008.
Baca juga : Ancaman Ransomware Terus Meningkat di Wilayah Asia Tenggara, Ini Cara untuk Melindungi Diri Anda
Jika versi OS cocok untuk serangan tersebut, skrip akan mengubah pengaturan boot dan mencoba mengenkripsi seluruh drive menggunakan BitLocker. Ini membuat partisi boot baru, yang pada dasarnya menyiapkan bagian terpisah pada drive komputer yang berisi file untuk mem-boot sistem operasi.
Tindakan ini bertujuan untuk mengurung korban pada tahap selanjutnya. Penyerang juga menghapus pelindung yang digunakan untuk mengamankan kunci enkripsi BitLocker sehingga korban tidak dapat memulihkannya.
Skrip berbahaya kemudian mengirimkan informasi tentang sistem dan kunci enkripsi yang dihasilkan pada komputer yang disusupi menuju server yang dikendalikan pelaku ancaman.
Baca juga : Sepertiga Insiden di Dunia Maya Disebabkan oleh Ransomware
Setelah itu, ia menutupi jejaknya dengan menghapus log dan berbagai file yang berfungsi sebagai petunjuk dan membantu penyelidikan serangan.
Sebagai langkah terakhir, malware akan melakukan penutupan paksa sistem - suatu kemampuan yang difasilitasi oleh pembuatan dan instalasi ulang file di partisi boot terpisah. Korban melihat layar BitLocker dengan pesan: “Tidak ada lagi opsi pemulihan BitLocker di PC Anda”.
Pesan muncul di layar korban setelah sistem dimatikan secara paksa
Kaspersky menjuluki skrip tersebut sebagai ShrinkLocker karena nama ini menyoroti prosedur penting pengubahan ukuran partisi, yang penting bagi penyerang untuk memastikan sistem melakukan booting dengan benar dengan file terenkripsi.
“Hal yang sangat memprihatinkan dalam kasus ini adalah bahwa BitLocker, yang awalnya dirancang untuk mengurangi risiko pencurian atau eksploitasi data, telah digunakan kembali oleh musuh untuk tujuan berbahaya. Sungguh ironi bahwa tindakan pengamanan dijadikan senjata dengan cara seperti ini. Bagi perusahaan yang menggunakan BitLocker, penting untuk memastikan kata sandi yang kuat dan penyimpanan kunci pemulihan yang aman. Pencadangan rutin, disimpan secara offline dan diuji, juga merupakan perlindungan yang penting,” jelas Incident Response Specialist di Kaspersky Global Emergency Response Team Cristian Souza.
Analisis teknis terperinci mengenai insiden tersebut tersedia di Securelist. Pakar Kaspersky merekomendasikan langkah-langkah mitigasi berikut untuk mencegah penyerang mengeksploitasi organisasi Anda:
- Gunakan perangkat lunak keamanan yang kuat dan dikonfigurasi dengan benar untuk mendeteksi ancaman yang mencoba menyalahgunakan BitLocker.
- Menerapkan Deteksi dan Respons Terkelola (MDR) untuk memantau ancaman secara proaktif.
- Batasi hak istimewa pengguna untuk mencegah pengaktifan fitur enkripsi atau modifikasi kunci registri tanpa izin.
- Aktifkan pencatatan dan pemantauan lalu lintas jaringan, menangkap permintaan GET dan POST, karena sistem yang terinfeksi dapat mengirimkan kata sandi atau kunci ke domain penyerang.
- Selalu memonitor kejadian eksekusi VBScript dan PowerShell, simpan skrip dan perintah yang dicatat ke repositori eksternal untuk retensi aktivitas meskipun ada penghapusan lokal. (Z-1)
Terkini Lainnya
Peneliti Kembangkan Komputer yang Mampu Pahami Emosi Manusia
Server PDNS Diretas, Guru Besar IT: Tidak Ada Sistem yang Dijamin Keamanannya
Perusahaan Komputer Dekatkan Diri pada Mahasiswa lewat Campus Tour
Gerebek Judi Online, Polresta Banyumas Tangkap Puluhan Pelaku
Ini Daftar 5 Virus Komputer Paling Berbahaya yang Pernah Dibuat
Zyrex Innovation Day 2024 Akhirnya Hadir di Kota Pahlawan
AS Larang Penjualan Antivirus Kaspersky karena Terkait Kremlin
87 Juta Kata Sandi Bisa Ditebak dalam Tempo Kurang dari 1 Menit
Waspada, Ada Skema Penipuan Baru yang Menyasar Bisnis Perhotelan
Waspada, Teknik Phising Tingkat Lanjut Bisa Lewati Otentikasi Dua Faktor
Di Kuartal Pertama 2024, Hampir 6 Juta Ancaman Daring Incar Pengguna Internet Indonesia
Tantangan Pendidikan di Indonesia
Membenahi Pola Tata Kelola PTN-BH
Ngariksa Peradaban Nusantara di Era Digital
Pancasila, Perempuan, dan Planet
Eskalasi Harga Pangan Tengah Tahun
Iuran Tapera ibarat Masyarakat Berdiri di Air Sebatas Dagu
Polresta Malang Kota dan Kick Andy Foundation Serahkan 37 Kaki Palsu
Turnamen Golf Daikin Jadi Ajang Himpun Dukungan Pencegahan Anak Stunting
Kolaborasi RS Siloam, Telkomsel, dan BenihBaik Gelar Medical Check Up Gratis untuk Veteran
Ulang Tahun, D'Cost Donasi ke 17 Panti Asuhan Melalui BenihBaik.com
Informasi
Rubrikasi
Opini
Ekonomi
Humaniora
Olahraga
Weekend
Video
Sitemap