Fog Serang Bisnis Keuangan, Adlumin Lawan Balik!

pibitek.biz -Bayangin, bulan Agustus tahun 2024, tiba-tiba ada serangan ransomware yang nge-target bisnis keuangan. Pelakunya pakai VPN yang diretas buat nembus pertahanan jaringan. Serangan ini dijuluki "Fog" alias "Lost in the Fog", ransomware yang mengincar data sensitif di komputer Windows dan Linux. Tapi, untungnya Adlumin muncul sebagai pahlawan dengan teknologi canggihnya. Adlumin punya senjata rahasia, yaitu file decoy yang bertindak sebagai sensor buat mendeteksi serangan ransomware di jaringan. Saat Fog mencoba nge-enkripsi file decoy, Adlumin langsung bergerak cepat, mengisolasi komputer yang kena serang, mengusir hacker, dan mencegah data dicuri.

Fog sendiri adalah varian dari keluarga ransomware STOP/DJVU yang udah berkeliaran sejak 2021. Biasanya Fog nge-incar sektor pendidikan dan rekreasi, memanfaatkan kelemahan VPN yang diretas buat masuk ke jaringan. Setelah masuk, Fog bakal ngelakuin berbagai tindakan jahat, seperti menonaktifkan sistem keamanan, nge-enkripsi file-file penting, terutama Virtual Machine Disks (VMDKs), dan menghapus backup data. Dengan begitu, korban Fog bakal kelimpungan dan terpaksa ngeluarin uang tebusan. File-file yang terenkripsi bakal dikasih tanda khusus, kayak ".

FOG" atau ". FLOCKED". Korban juga bakal nerima surat ancaman yang berisi petunjuk buat ngehubungi para penjahat cyber di jaringan Tor. Yang bikin merinding, Fog enggak punya dalang yang jelas. Berarti ada kemungkinan Fog berasal dari kelompok hacker baru yang punya skill tinggi. Hacker Fog memulai serangan dengan mengirimkan sinyal ping ke komputer lain di jaringan. Mereka menyimpan hasil ping-an di file teks "pings.txt" dan "pingw.txt". Selanjutnya, mereka pakai alat bernama "Advanced_Port_Scanner_2.5.3869(1).exe" buat ngelacak jaringan, mencari target yang rentan dengan bantuan akun service yang diretas.

Tim Adlumin berhasil melacak asal serangan ke komputer yang enggak terlindungi dan berasal dari alamat IP di Rusia. Hacker memanfaatkan dua akun service yang diretas buat bergerak bebas di dalam jaringan, memanfaatkan informasi hubungan kepercayaan domain dengan perintah "nltest /domain_trusts". Mereka juga menggunakan program bernama "SharpShares.exe" buat nge-map drive jaringan dan ngebagi folder di komputer lain, yang ngebantu mereka untuk bergerak lebih jauh di dalam jaringan. Langkah selanjutnya adalah menggunakan esentutl.exe, sebuah program baris perintah Microsoft, buat nge-backup data login yang tersimpan di komputer, termasuk kredensial terenkripsi dari Google Chrome.

Mereka pakai perintah "cmd.exe /Q /c esentutl.exe /y ?C:Users?USERNAME?AppDataLocalGoogleChromeUser DataDefaultLogin Data? /d ?C:Users?USERNAME?AppDataLocalGoogleChromeUser DataDefaultLogin Data. tmp?". Para hacker kemudian menggunakan Rclone, program baris perintah open-source yang hebat, buat sinkronisasi dan transfer data dari komputer yang diretas. Mereka modifikasi perintah Rclone agar hanya mengambil file yang dimodifikasi dalam dua tahun terakhir, dengan beberapa tipe file dikecualikan. Untuk menyebarkan ransomware, hacker menggunakan program bernama "locker.exe", yang fungsinya buat nge-enkripsi atau "mengunci" file.

Mereka menggunakan perintah "C:programdatalocker.exe -id xCcNKl -nomutex -size 10 -console -target ?HOSTS? . DOMAIN. COM?SHAREDRIVE?". Setelah nge-enkripsi file, hacker bakal ninggalin file "readme.txt" di setiap komputer yang terinfeksi. File ini berisi surat ancaman yang berisi tuntutan tebusan. Hacker juga menggunakan perintah WMIC dan PowerShell buat menghapus shadow copy sistem, sehingga korban enggak bisa memulihkan file-file dari backup. Saat serangan mencapai tahap ekstraksi data, fitur pencegahan ransomware milik Adlumin langsung aktif, mengisolasi komputer yang kena serang, mengusir hacker, dan mencegah data dicuri.

Fitur ini dirilis pada April 2024, berupa skrip yang tertanam di Adlumin Security Platform Agent, yang mengawasi aktivitas jahat di jaringan para pelanggan. Agent ini menyebarkan file decoy ke komputer yang dilindungi, file ini bakal diam aja sampai ada aktivitas yang mencurigakan atau jahat. Begitu ransomware mencoba nge-enkripsi file decoy, skrip Adlumin langsung ngelakuin tindakan buat ngelepas komputer yang kena serang dari jaringan, sehingga hacker enggak bisa ngelakuin kerusakan lebih lanjut.

Adlumin juga bakal ngirim notifikasi ke platform Adlumin buat diinvestigasi lebih lanjut. Adlumin Ransomware Prevention merupakan teknologi pertama di dunia yang udah dipatenkan, yang merupakan gebrakan besar dalam memerangi ransomware. Setelah ngisolasi komputer yang kena serang, tim keamanan Adlumin ngecek sistemnya, menemukan berbagai program, mulai dari program pemindai port, program enkripsi, program manajemen jarak jauh (RMM), dan berbagai artefak lain yang ditinggalin hacker. Mereka juga berhasil mengidentifikasi komputer-komputer yang rentan dan ngebantu hacker masuk ke jaringan.

Komputer yang kena serang kemudian diperbaiki dan dikembalikan ke keadaan semula, sehingga terhindar dari serangan serupa. Tim Adlumin merekomendasi beberapa langkah pencegahan buat menghindar dari serangan Fog: 1. Perkuat keamanan VPN dan pastikan hanya pengguna yang terotorisasi yang bisa masuk ke jaringan. Perbarui sistem operasi dan software secara berkala untuk menutup celah keamanan yang ada. Gunakan software antivirus dan anti-malware yang canggih untuk mendeteksi dan memblokir serangan ransomware.

Lakukan backup data secara rutin dan simpan di tempat yang aman, yang enggak bisa diakses hacker. Latih karyawan tentang cara mengenali dan menghindari serangan ransomware. Pertimbangkan untuk menggunakan layanan pencegahan ransomware dari Adlumin buat melindungi komputer di jaringan. Dengan berbagai langkah keamanan yang tepat, para pemilik bisnis bisa lebih tenang menghadapi ancaman cyber yang kian meningkat. Adlumin terus berinovasi dan mengembangkan teknologi canggih untuk melindungi bisnis dari serangan ransomware.