Varian Baru Ransomware Virobot Dilengkapi dengan Botnet

152

Varian Baru Ransomware Virobot Dilengkapi dengan Botnet – Ransomware Virobot yang baru ditemukan adalah ancaman ganda yang selain mengenkripsi file pengguna, ransomware tersebut juga dapat mencatat dan mencuri ketukan keyboard korban (keylogger), dan “mengubah” komputer yang terinfeksi menjadi botnet yang mengirim spam.

Menurut perusahaan cyber-security Trend Micro, ransomware baru ini diberi nama Virobot dan merupakan varian baru yang tidak memiliki hubungan dengan keluarga ransomware yang telah ditemukan.

Tetapi meski komponen ransomware Virobot tampaknya tidak terkait dengan ransomware lainnya, cara operasinya bukanlah hal yang baru, mengikuti modus operandi yang sama dari semua ancaman sebelumnya.

Penyebaran ransomware ini adalah melalui email spam (juga dikenal sebagai malspam). Setelah pengguna ditipu untuk mengunduh dan menjalankan ransomware yang dilampirkan ke dokumen email, ransomware bekerja dengan menghasilkan kunci enkripsi dan dekripsi acak, yang juga dikirim ke server command and control jarak jauh (C & C).

Baca Juga  Situs Militer Kodam III/Siliwangi Diretas Hacker

Proses enkripsi bergantung pada skema enkripsi RSA, dan Virobot akan menargetkan file dengan ekstensi berikut: TXT, DOC, DOCX, XLS, XLSX, PPT, PPTX, ODT, JPG, PNG, CSV, SQL, MDB, SLN, PHP, ASP, ASPX, HTML, XML, PSD, PDF, dan SWP.

Setelah operasi ini selesai, Virobot menunjukkan catatan tebusan di layar pengguna, seperti yang ada di bawah ini. Catatan ini ditulis dalam bahasa Prancis, yang menurut para peneliti Trend Micro aneh karena kampanye yang menyebarkan ransomware juga jelas menargetkan pengguna AS.

Baca Juga  Hacker asal Jogja Penyebar Ransomware Diciduk Bareskrim Polri

Tapi selain komponen ransomware-nya, Trend Micro mengatakan itu juga menemukan dua komponen lain, sebuah keylogger, dan modul botnet. Sistem keylogger sangat sederhana, mencatat semua keystroke lokal dan mengirim data raw ke server C & C.

Di sisi lain, modul botnet lebih kuat. Modul ini juga memungkinkan operator Virobot mengunduh malware lain dari server C & C ransomware dan mengeksekusinya via PowerShell.

Selanjutnya, modul ini juga berfungsi sebagai modul spam, menggunakan aplikasi Outlook yang dipasang secara lokal untuk mengirim spam ke daftar kontak pengguna. Trend Micro melaporkan bahwa Virobot akan menggunakan modul ini untuk menyebarkan salinan dirinya.

LEAVE A REPLY

Please enter your comment!
Please enter your name here