Peneliti keamanan siber telah menemukan versi terbaru dari ransomware Qilin yang dilengkapi dengan peningkatan taktik untuk menghindari deteksi dan tingkat kecanggihan yang lebih tinggi.
Varian baru ini dilacak oleh perusahaan keamanan siber Halcyon dengan nama Qilin.B.
“Yang paling mencolok, Qilin.B sekarang mendukung enkripsi AES-256-CTR untuk sistem dengan kemampuan AESNI, sementara tetap mempertahankan Chacha20 untuk sistem yang tidak mendukung fitur ini,” ujar Tim Riset Halcyon dalam laporan yang dibagikan dengan The Hacker News.
“Selain itu, RSA-4096 dengan padding OAEP digunakan untuk melindungi kunci enkripsi, membuat dekripsi file tanpa kunci pribadi penyerang atau nilai benih yang tertangkap menjadi tidak mungkin.”
Qilin, yang juga dikenal sebagai Agenda, pertama kali menjadi perhatian komunitas keamanan siber pada Juli/Agustus 2022, dengan versi awal ditulis dalam Golang sebelum beralih ke Rust.
Laporan dari Group-IB pada Mei 2023 mengungkapkan bahwa skema ransomware-as-a-service (RaaS) ini memungkinkan afiliasinya menerima antara 80% hingga 85% dari setiap pembayaran tebusan setelah berhasil menyusup ke grup dan memulai percakapan dengan perekrut Qilin.
Serangan terbaru yang terkait dengan operasi ransomware ini mencuri kredensial yang tersimpan di browser Google Chrome pada sejumlah endpoint yang terkompromi, menandakan sedikit pergeseran dari serangan pemerasan ganda yang biasa dilakukan.
Sampel Qilin.B yang dianalisis oleh Halcyon menunjukkan peningkatan dari iterasi sebelumnya dengan kemampuan enkripsi tambahan dan taktik operasional yang lebih canggih.
Ini termasuk penggunaan enkripsi AES-256-CTR atau Chacha20, serta langkah-langkah untuk melawan analisis dan deteksi dengan menghentikan layanan yang terkait dengan alat keamanan, secara terus-menerus menghapus Log Peristiwa Windows, dan menghapus dirinya sendiri.
Ransomware ini juga dilengkapi dengan fitur untuk menghentikan proses yang terkait dengan layanan backup dan virtualisasi seperti Veeam, SQL, dan SAP, serta menghapus salinan bayangan volume, sehingga memperumit upaya pemulihan.
“Kombinasi mekanisme enkripsi yang ditingkatkan, taktik penghindaran pertahanan yang efektif, dan gangguan terus-menerus terhadap sistem backup menjadikan Qilin.B sebagai varian ransomware yang sangat berbahaya,” kata Halcyon.
Ancaman ransomware yang semakin berkembang terlihat dari taktik evolusioner yang terus ditunjukkan oleh kelompok ransomware.
Ini dibuktikan dengan penemuan toolset baru berbasis Rust yang digunakan untuk menyebarkan ransomware baru bernama Embargo, namun tidak sebelum menghentikan solusi deteksi dan respons endpoint (EDR) yang diinstal pada host dengan teknik Bring Your Own Vulnerable Driver (BYOVD).
Pembunuh EDR, yang diberi nama MS4Killer oleh ESET karena kemiripannya dengan alat open-source s4killer, dan ransomware ini dieksekusi melalui loader berbahaya yang disebut MDeployer.
“MDeployer adalah loader utama yang digunakan Embargo untuk disebarkan ke mesin di jaringan yang terkompromi – ini memfasilitasi serangan lebih lanjut, yang berujung pada eksekusi ransomware dan enkripsi file,” ujar para peneliti Jan Holman dan Tomáš Zvara. “MS4Killer diharapkan berjalan tanpa batas waktu.”
“Baik MDeployer maupun MS4Killer ditulis dalam bahasa Rust. Hal yang sama berlaku untuk payload ransomware, yang menunjukkan bahwa Rust adalah bahasa pilihan bagi pengembang kelompok ini.”
Menurut data yang dibagikan oleh Microsoft, 389 institusi kesehatan di AS terkena serangan ransomware pada tahun fiskal ini, yang mengakibatkan biaya hingga $900.000 per hari karena downtime. Beberapa geng ransomware yang dikenal menyerang rumah sakit termasuk Lace Tempest, Sangria Tempest, Cadenza Tempest, dan Vanilla Tempest.
“Dari 99 organisasi kesehatan yang mengaku membayar tebusan dan mengungkapkan jumlah yang dibayarkan, pembayaran median adalah $1,5 juta, dan pembayaran rata-rata adalah $4,4 juta,” ungkap raksasa teknologi tersebut.
#Lindungi Data!
Sebagai perusahaan yang berkomitmen untuk membuat dunia digital yang lebih baik, PT Digital Solusi Grup mengajak Anda untuk selalu menjaga keamanan perangkat dan data Anda. Hubungi tim ahli kami di bidang cyber security untuk konsultasi lebih lanjut dan layanan perlindungan menyeluruh. Bersama kami, amankan bisnis Anda dari ancaman siber yang terus berkembang. Lindungi, Aman, dan Sukses bersama PT Digital Solusi Grup!
Referensi:
New Qilin.B Ransomware Variant Emerges with Improved Encryption and Evasion Tactics, The Hacker News.
Baca Juga : VMware Rilis Pembaruan vCenter Server untuk Atasi Kerentanan Critical RCE