TopCareer.id – Perusahaan keamanan siber Kaspersky meminta pengguna internet untuk mewaspadai sebuah ransomware baru, Ymir, yang dapat mencuri data-data kredensial perusahaan dari karyawan.
Nama Ymir sendiri diambil dari bulan Saturnus. Ini adalah bulan “tidak beraturan” yang bergerak berlawanan arah dengan rotasi planet tersebut. Sifatnya menyerupai perpaduan fungsi manajemen memori yang tidak konvensional, yang digunakan dalam ransomware baru tersebut.
Tim Tanggap Darurat Global Kaspersky mengatakan, ransomware Ymir yang sebelumnya tidak terlihat dan aktif digunakan ini dimanfaatkan dalam serangan pencurian kredensial karyawan.
Baca Juga: 5 Juta Ancaman Online Sasar Indonesia di Q2 2024
Ransomware Ymir menggunakan metode enkripsi dan penyamaran tingkat lanjut, serta secara selektif menargetkan file dan berupaya menghindari deteksi.
Mengutip siaran persnya, Sabtu (16/11/2024), Kaspersky mengatakan pelaku menggunakan teknik manipulasi memori yang tidak umum untuk penyamaran.
Pelaku ancaman memanfaatkan campuran fungsi manajemen memori yang tidak konvensional – malloc, memmove, dan memcmp – untuk mengeksekusi kode berbahaya secara langsung di dalam memori.
Pendekatan ini menyimpang dari alur eksekusi sistematis yang umum terlihat pada jenis ransomware yang tersebar luas, sehingga menunjukkan kemampuan penyamarannya.
Baca Juga: 3 Bahaya Ini Mengintai di Balik Kencan Online, Simak Tips Buat Lindungi Diri
Selain itu, Ymir bersifat fleksibel. Dengan menggunakan perintah –path, penyerang dapat menentukan direktori tempat ransomware harus mencari file.
Jika file ada dalam daftar putih, ransomware akan melewatinya dan membiarkannya tidak terenkripsi. Fitur ini memberi penyerang kontrol lebih besar atas apa yang dienkripsi atau tidak.
Dalam serangan yang diamati pakar Kaspersky terhadap sebuah organisasi di Kolombia, para pelaku kejahatan siber terlihat menggunakan RustyStealer, sejenis malware yang mencuri informasi, untuk mendapatkan kredensial perusahaan dari para karyawan.
Informasi ini kemudian digunakan untuk mendapatkan akses ke sistem organisasi dan mempertahankan kendali cukup lama untuk menyebarkan ransomware.
Sinyal Tren Baru
Biasanya, perantara akses awal menjual akses yang mereka peroleh di dark web kepada para pelaku kejahatan siber lainnya. Namun dalam kasus ini, mereka tampaknya melanjutkan serangan itu sendiri dengan menyebarkan ransomware.
“Jika para perantara tersebut memang pelaku yang sama yang menyebarkan ransomware, ini dapat menjadi sinyal tren baru, yang menciptakan opsi pembajakan tambahan tanpa ketergantungan pada kelompok Ransomware-as-a-Service (RaaS) tradisional,” kata Cristian Souza, Spesialis Respons Insiden di Kaspersky Global Emergency Response Team.
Selain itu, ransomware tersebut menggunakan ChaCha20, sebuah stream cipher modern yang dikenal karena kecepatan dan keamanannya.
Meski pelaku di balik peretasan tersebut belum membagikan data curian apa pun secara publik atau mengajukan tuntutan lanjutan, para peneliti tetap memantaunya secara ketat untuk aktivitas baru.
“Biasanya, penyerang menggunakan forum atau portal bayangan untuk membocorkan informasi sebagai cara untuk menekan korban agar membayar tebusan, namun ini tidak terjadi pada Ymir,” kata Souza.
“Mengingat hal ini, pertanyaan tentang kelompok mana yang berada di balik ransomware tersebut masih belum ditemukan, dan kami menduga ini mungkin merupakan kampanye baru,” imbuhnya.
Tips Hadapi Ancaman Ransomware Bagi Perusahaan
Untuk perusahaan, ada langkah-langkah yang secara umum dapat dilakukan untuk mengurangi risiko serangan ransomware:
- Terapkan jadwal pencadangan data yang sering dan lakukan pengujian rutin.
- Berikan pelatihan keamanan siber rutin kepada karyawan untuk meningkatkan kewaspadaan terhadap ancaman siber seperti malware pencuri data, dan untuk mengajarkan strategi mitigasi yang efektif.
- Jika Anda telah menjadi korban ransomware dan belum ada dekripsi yang diketahui, simpan file terenkripsi penting Anda. Solusi dekripsi dapat muncul dalam upaya penelitian ancaman yang sedang berlangsung atau jika pihak berwenang berhasil menguasai pelaku di balik ancaman tersebut.
- Sebaiknya jangan membayar tebusan. Membayar tebusan akan mendorong pembuat malware untuk melanjutkan operasi mereka, tetapi tidak menjamin pengembalian file yang aman dan andal.
- Untuk melindungi perusahaan dari berbagai ancaman, gunakan solusi yang memberikan perlindungan waktu nyata, visibilitas ancaman, investigasi, dan kemampuan respons EDR dan XDR untuk organisasi dengan ukuran dan industri apa pun. Bergantung pada kebutuhan saat ini dan sumber daya yang tersedia, Anda dapat memilih tingkatan produk yang paling relevan, dengan fleksibilitas saar bermigrasi ke tingkatan lain seiring dengan perkembangan kebutuhan keamanan siber Anda. Kurangi permukaan serangan Anda dengan menonaktifkan layanan dan port yang tidak digunakan.
- Terapkan layanan keamanan terkelola yang mencakup seluruh siklus manajemen insiden—mulai dari identifikasi ancaman hingga perlindungan dan perbaikan berkelanjutan. Layanan ini membantu melindungi dari serangan siber yang sulit dideteksi, menyelidiki insiden, dan mendapatkan keahlian tambahan meskipun perusahaan kekurangan pekerja keamanan.