Ransomware GandCrab Mulai “Menjangkiti” Situs-situs Resmi

Ransomware GandCrab
Ransomware GandCrab Memanfaatkan Website Yang Telah Di Kompromoikan Untuk Penyebaran Payload Malware.

Ransomware GandCrab terus menyebar dan beradaptasi dengan perubahan kondisi cyber. Baru-baru ini, mereka merangkak kembali ke relevansi di belakang beberapa kampanye spam berskala besar.

Yang menarik adalah bahwa payload GandCrab ditemukan bersembunyi di situs web resmi namun telah dikompromikan. Ini, ketika dianalisis, ditemukan diliputi dengan kerentanan yang berasal dari perangkat lunak yang ketinggalan jaman. Ini merupakan salah satu masalah yang tergolong masih umum dalam keamanan dunia maya.

Sebagian besar bisnis kecil tidak menyadari bahwa kerentanan baru telah dirilis terhadap kerangka web. Bahkan jika mereka melakukannya, sebagian besar kekurangan keahlian dan waktu untuk dapat memperbarui platform CMS web mereka.

Para penyerang, di sisi lain, dapat dengan cepat meningkatkan kerentanan ini dan mulai secara luas memindai internet mencari calon korban. Memanfaatkan situs yang disusupi ini dalam jenis kampanye spam ini semakin efektif. Mereka dapat melakukan banyak hal selain menyalin file ke lokasi tertentu yang dapat mereka tunjuk ke sistem dan memungkinkan infeksi.

Ransomware GandCrab Memanfaatkan Situs Resmi

Secara keseluruhan, para ahli keamanan siber mengamati empat serangan yang hampir identik selama satu minggu di awal bulan Mei. Menggunakan e-commerce order lures, email-email termasuk teks tubuh yang belum sempurna dan baik file ZIP yang dilampirkan atau file VBScript, yang ketika dibuka, menarik GandCrab dari sebuah situs web.

Para peneliti menemukan bahwa malware itu sebenarnya dijalankan dari situs web resmi. Termasuk satu untuk layanan kurir di India, dan situs WordPress untuk pemasok obat herbal.

Setelah memeriksa situs web India, menjadi jelas bahwa sejumlah masalah hadir dalam kode situs web, termasuk penggunaan kredensial dan beberapa kerentanan MySQL. Adapun situs WordPress, itu menjalankan versi sistem manajemen konten yang tidak di update lebih dari setahun. Keduanya juga memiliki halaman admin yang terbuka untuk kerangka web yang mereka gunakan.

Situs yang menggunakan perangkat lunak lawas mudah diambil alih oleh penyerang. GrandCrab menggunakan situs-situs tersebut untuk menjalankan malware. Hal ini dapat menghemat waktu dan uang, melakukan hal-hal seperti mendaftarkan domain, membeli VPS, dan mengkonfigurasi server web untuk meng-host file. Pelaku penyerangan dapat memperoleh manfaat dari reputasi web dari situs yang mereka kompromikan. Hal tersebut dapat membantu memotong beberapa teknologi daftar hitam, secara teori.

Perangkat lunak perusak ini adalah yang terbaru dalam garis panjang contoh mengapa menghentikan distribusi malware adalah masalah. Ini juga menunjukkan mengapa mengamankan situs web adalah tugas yang sulit dan perlu.

Sebagai contoh yang jelas tentang bagaimana sulitnya menyelesaikan masalah ini, salah satu situs – meskipun ditutup sebentar – terlihat melayani GandCrab tidak hanya sekali, tetapi dua kali, selama beberapa hari.

Payload Ransomware GandCrab

GandCrab menyebar melalui RIG dan kit mengeksploitasi GrandSoft, serta melalui spam email seperti yang terlihat dalam kampanye terbaru. Ransomware GandCrab sedang dalam pengembangan yang hampir konstan. Para pembuatnya merilis versi baru dengan langkah agresif. Mereka melakukan hal-hal yang biasa dilakukan ransomware, termasuk mengenkripsi file dengan ekstensi “.CRAB”, mengubah latar belakang pengguna dan memanfaatkan Tor untuk komunikasi.

Misalnya, malware dengan cepat bermetamorfosis untuk mendapatkan alat dekripsi gratis. Sebuah operasi gabungan pada bulan Februari oleh polisi Rumania, Bitdefender, dan Europol menyusup ke dalam infrastruktur malware, mengumpulkan analisis yang pada akhirnya menghasilkan alat yang memungkinkan korban mendekripsi file mereka secara gratis. Tapi versi baru dari kode buruk dengan cepat muncul dalam waktu satu bulan, dengan perbaikan untuk cacat enkripsi kritis yang akan memungkinkan dekripsi universal.

Meskipun cryptomining telah menjadi target berikutnya, masih ada miliaran dolar yang bisa didapat di bidang ransomware. Dengan taktik seperti menggunakan situs yang sah untuk menyembunyikan payload yang terbukti efektif secara konsisten, membuat tugas jadi lebih mudah.

Ancaman seperti GandCrab akan terus muncul. Ada jutaan halaman web yang berjalan pada platform yang memiliki ribuan kerentanan. Seperti contohnya baru-baru ini, situs Pajak Online yang diretas karena memakai platform Drupal yang belum di patch.

Ini disebabkan karena sebagian besar website tersebut dibuat dan dikelola oleh organisasi yang tidak memiliki pengetahuan atau sumber daya untuk bereaksi terhadap kerentanan yang muncul. Hal semacam ini akan terus menjadi masalah di masa mendatang. Selama penyerang dapat menyembunyikan malware mereka di situs yang sah, sistem reputasi web akan dikompromikan.

Tips Keamanan Website

Secara umum, platform keamanan website apapun harus selalu di patch. Kelebihan WordPress, anda dapat menggunakan plugin pihak ketiga untuk keamanan website. Seperti I-Control yang dapat melakukan update secara otomatis, Sucuri untuk keamanan website dan masih banyak lagi.

Disamping itu, file permission seperti ‘wp-config.php’ dan ‘.htaccess’ sebaiknya di set ke 444. Anda juga memerlukan perlindungan DDoS seperti menggunakan cloudflare untuk name server anda.

Sebagai pertahanan terakhir, pencadangan website sangat diperlukan. Jika website terkena serangan, Anda dapat dengan cepat menambal dan memulihkannya jika memiliki cadangan yang “bersih” dari infeksi malware. Namun, jika cadangan website anda sudah terkena infeksi malware, maka suatu saat malware tersebut dapat aktif kembali.

Untuk website skala besar, anda dapat menggunakan Backup as a Service yang biayanya jauh lebih murah dari biaya colocation.

Website merupakan sarana penting pada bisnis sekarang ini. Jangan sampai website anda diretas, namun anda tidak menyadari apa yang terjadi. Ketika GandCrab di aktifkan oleh penyerang, website anda mulai mengirimkan spam dengan link ‘jahat’ sebagai sarana penyebaran payload. Jangan sampai bisnis anda menjadi korban fitnah sebagai penyebar malware.