Ransomware Baru Incar Data Perusahaan Indonesia Melalui BitLocker Microsoft
Serangan siber berupa ransomware kembali menyerang perusahaan dan organisasi di Indonesia. Ransomware baru ini menggunakan BitLocker Microsoft sebagai akses masuknya, lalu melakukan penyerangan dengan cara mengenkripsi data perusahaan.
Ancaman kejahatan siber baru ini telah diidentifikasi oleh Kaspersky, dan mendapatkan perhatian yang serius karena berpotensi menimbulkan kerugian besar. Pelaku ancaman ransomware ini akan menghapus opsi pemulihan atau “recovery”, untuk mencegah pemulihan file.
Selain itu, pelaku ancaman juga menggunakan skrip berbahaya dengan fitur baru yang mampu mendeteksi versi Windows tertentu, dan mengaktifkan BitLocker sesuai dengan versi Windows tersebut.
Insiden yang melibatkan ransomware baru ini mendapat julukan “ShrinkLocker”, dan selain di Indonesia, variannya juga diamati di Meksiko dan Yordania. Para pelaku menargetkan perusahaan-perusahaan di bidang manufaktur baja dan vaksin, serta entitas pemerintahan.
Tim Kaspersky Global Emergency Response melaporkan bahwa para pelaku ancaman menggunakan VBScript – bahasa pemrograman yang digunakan untuk mengotomatisasi tugas-tugas pada komputer Windows – untuk membuat skrip berbahaya dengan fitur-fitur yang sebelumnya tidak dilaporkan, guna memaksimalkan kerusakan akibat serangan tersebut.
Skrip tersebut bekerja dengan cara memeriksa versi Windows yang saat itu diinstal pada sistem, dan mengaktifkan fitur BitLocker yang sesuai. Dengan cara ini, skrip tersebut diyakini dapat menginfeksi sistem baru dan lama hingga Windows Server 2008.
Jika versi OS cocok untuk serangan tersebut, skrip akan mengubah pengaturan boot dan mencoba mengenkripsi seluruh drive menggunakan BitLocker. Ini membuat partisi boot baru, yang pada dasarnya menyiapkan bagian terpisah pada drive komputer yang berisi file untuk mem-boot sistem operasi.
Tindakan tersebut bertujuan untuk mengurung korban pada tahap selanjutnya. Setelah itu, penyerang juga menghapus pelindung yang digunakan untuk mengamankan kunci enkripsi BitLocker sehingga korban tidak dapat memulihkannya.
Skrip berbahaya kemudian mengirimkan informasi tentang sistem dan kunci enkripsi yang dihasilkan pada komputer yang disusupi menuju server yang dikendalikan pelaku ancaman. Pelaku kemudian menutupi jejaknya dengan menghapus log dan berbagai file yang berfungsi sebagai petunjuk dan membantu penyelidikan serangan.
Sebagai langkah terakhir, malware akan melakukan penutupan paksa sistem - suatu kemampuan yang difasilitasi oleh pembuatan dan instalasi ulang file di partisi boot terpisah. Korban melihat layar BitLocker dengan pesan: “Tidak ada lagi opsi pemulihan BitLocker di PC Anda”. Pesan muncul di layar korban setelah sistem dimatikan secara paksa.
Guna menghindari serangan berbahaya ini, Cristian Souza selaku Incident Response Specialist di Kaspersky Global Emergency Response Team menyarankan kepada perusahaan yang menggunakan BitLocker untuk:
- Memastikan kata sandi yang kuat dan penyimpanan kunci pemulihan yang aman.
- Pencadangan rutin, disimpan secara offline dan diuji.
Lebih lanjut, pakar Kaspersky merekomendasikan langkah-langkah mitigasi berikut untuk mencegah penyerang mengeksploitasi organisasi Anda:
- Gunakan perangkat lunak keamanan yang kuat dan dikonfigurasi dengan benar untuk mendeteksi ancaman yang mencoba menyalahgunakan BitLocker.
- Menerapkan Deteksi dan Respons Terkelola (MDR) untuk memantau ancaman secara proaktif.
- Batasi hak istimewa pengguna untuk mencegah pengaktifan fitur enkripsi atau modifikasi kunci registri tanpa izin.
- Aktifkan pencatatan dan pemantauan lalu lintas jaringan, menangkap permintaan GET dan POST, karena sistem yang terinfeksi dapat mengirimkan kata sandi atau kunci ke domain penyerang.
- Selalu memonitor kejadian eksekusi VBScript dan PowerShell, simpan skrip dan perintah yang dicatat ke repositori eksternal untuk retensi aktivitas meskipun ada penghapusan lokal.
