CyberVolk Ransomware: Ancaman Baru Mengguncang Keamanan Global
- Muhammad Bachtiar Nur Fa'izi
- •
- 08 Sep 2024 18.01 WIB
Sebagai pemain yang relatif baru di dunia siber, kelompok peretas India, CyberVolk, telah menarik perhatian dengan ransomware canggihnya. Ransomware CyberVolk, yang pertama kali terdeteksi pada Juli 2024, dengan cepat mendapatkan reputasi karena fitur-fitur canggih dan evolusinya yang pesat. Analisis terbaru oleh ThreatMon menunjukkan bahwa senjata paling mengkhawatirkan kelompok ini, Ransomware CyberVolk, menarik perhatian para ahli keamanan siber karena kemampuan lanjut dan dampaknya yang semakin meningkat.
CyberVolk muncul di bayang-bayang dark web, di mana mereka dengan cepat membangun reputasi melalui serangkaian serangan yang sukses. Mengkhususkan diri dalam berbagai kejahatan siber, termasuk serangan DDoS, pelanggaran data, dan perusakan situs web kelompok ini dikenal karena keberaniannya, bahkan menjaga akun resmi di platform seperti Telegram dan X.
Namun, yang paling mengkhawatirkan adalah ransomware mereka. Ransomware CyberVolk pertama kali terdeteksi pada Juli 2024 dan segera muncul di forum bawah tanah sebagai Ransomware-as-a-Service (RaaS). Ini berarti siapa pun yang memiliki koneksi yang tepat dapat menyewa alat tersebut untuk meluncurkan serangan mereka sendiri, menjadikan ransomware CyberVolk sebagai komoditas yang mudah diakses dan berbahaya di dunia siber.
Awalnya, Ransomware CyberVolk menggunakan algoritma enkripsi AES untuk mengunci file korban. Namun, kebocoran di VirusTotal mengungkapkan penjagaan internal ransomware, yang mendorong para peretas untuk merilis versi yang diperbarui dan jauh lebih canggih. Varian baru ini menggabungkan algoritma kriptografi yang lebih kuat, termasuk ChaCha20-Poly1305, AES, dan bahkan teknologi tahan kuantum. Peningkatan ini menjadikannya hampir tidak mungkin untuk didekripsi tanpa membayar tebusan, bahkan bagi mereka yang dilengkapi dengan sumber daya komputasi kuantum.
Salah satu fitur mencolok dari Ransomware CyberVolk adalah kemampuannya untuk beroperasi tanpa menghubungkan ke server command and control (C2). Proses enkripsi otonom ini membuat malware lebih sulit untuk terdeteksi dan diblokir, dan para penyerang telah menambahkan hukuman berat untuk upaya pemulihan yang gagal. Jika kunci dekripsi yang salah dimasukkan, ransomware secara otomatis menghapus data terenkripsi, meninggalkan korban dengan sedikit pilihan kecuali mematuhi tuntutan tebusan.
Analisis teknis ThreatMon tentang Ransomware CyberVolk mengungkapkan beberapa kemampuan unik dan mengkhawatirkan. Misalnya, setelah dieksekusi, ransomware memblokir akses ke alat sistem kritis seperti Task Manager, mencegah pengguna menghentikan proses enkripsi. Ransomware menyelesaikan enkripsi semua file dalam hitungan menit dan kemudian menyajikan korban dengan tuntutan tebusan sebesar $1,000. Korban juga diberikan tenggat waktu yang ketat: kegagalan untuk membayar dalam waktu lima jam mengakibatkan penghancuran permanen data mereka.
Malware ini menggunakan taktik canggih untuk menghindari deteksi, termasuk deteksi debugger dan pemeriksaan lingkungan runtime. Ia juga mampu menyebarkan seperti worm melalui perangkat yang terhubung dan berbagi jaringan, yang berarti bahwa satu komputer yang terinfeksi dapat dengan cepat mengkompromikan seluruh jaringan.
Menariknya, meskipun kecanggihan ransomware ini, ThreatMon mengidentifikasi beberapa kerentanan. Misalnya, meskipun ransomware memblokir Task Manager, ia tidak memblokir PowerShell, yang memungkinkan pengguna diaktifkan untuk menghentikan proses enkripsi dengan menggunakan perintah tertentu. Selain itu, timer hitung mundur lima jam ransomware dapat diubah dengan mengedit file "time.dat" yang berada di sistem pengguna, berpotensi memberikan waktu lebih banyak bagi tim keamanan siber untuk mengatasi serangan tersebut.
Sementara laporan awal menunjukkan bahwa Ransomware CyberVolk hanya menghasilkan $2,632, pendapatan mereka telah melonjak dalam beberapa bulan terakhir. ThreatMon memperkirakan bahwa kelompok ini telah menghasilkan lebih dari $20,000 dari serangan ransomware, menandakan peningkatan yang berdampak pada dampak finansial dari operasi mereka.
Ransomware CyberVolk merupakan ancaman serius bagi bisnis dan individu. Kemampuannya untuk menyebar seperti worm, dipadukan dengan enkripsi yang canggih dan teknik penghindaran, menjadikannya lawan yang tangguh. Namun, keberadaan kerentanan dalam strukturnya memberikan harapan untuk langkah-langkah penanggulangan yang efektif.
Para ahli keamanan siber merekomendasikan pembaruan perangkat lunak secara berkala, cadangan strategi yang kuat, serta edukasi bagi karyawan mengenai kebersihan keamanan siber untuk meminimalkan risiko serangan ransomware.