Baru-baru ini, periset dari dua perusahaan keamanan secara independen melihat dua kampanye email massal yang menyebarkan dua varian baru yang berbeda dari ransomware Locky.
Kampanye Lukitus Mengirim 23 Juta Email Dalam 24 Jam
Kampanye yang dilihat oleh para periset di AppRiver mengirimkan lebih dari 23 juta pesan berisi ransomware Locky hanya dalam 24 jam pada tanggal 28 Agustus di seluruh Amerika Serikat dalam hal yang tampaknya merupakan salah satu kampanye malware terbesar di paruh kedua tahun ini.
Menurut para peneliti, email yang dikirim dalam serangan itu “sangat tidak jelas,” dengan garis subjek seperti “tolong cetak,” “dokumen,” “gambar,” “foto,” dan “scan” dalam upaya mencoba meyakinkan korban untuk menginfeksi dirinya dengan ransomware.
Email tersebut dilengkapi dengan lampiran ZIP (menyembunyikan muatan malware) yang berisi file Visual Basic Script (VBS) yang bersarang di dalam file ZIP sekunder.
Begitu korban ditipu untuk mengkliknya, file VBS memulai sebuah downloader yang mendownload versi terbaru dari Locky, yang disebut Lukitus (yang berarti “terkunci” dalam bahasa Finlandia), dan mengenkripsi semua file di komputer target, dan menambahkan ekstensi [.]lukitus ke data terenkripsi.
Setelah proses enkripsi berakhir, malware menampilkan pesan ransomware di desktop korban yang menginstruksikan korban untuk mendownload dan menginstal browser Tor dan mengunjungi situs penyerang untuk mendapatkan instruksi dan pembayaran lebih lanjut.
Varian Locky Lukitus ini menuntut sejumlah 0,5 Bitcoin (~$2.300) dari korban untuk membayar “Locky decryptor” agar bisa mengembalikan file mereka.
Kampanye penyerangan Lukitus ini masih berlangsung, dan peneliti AppRiver telah “mengkarantina lebih dari 5,6 juta” pesan dalam kampanye tersebut pada hari Senin pagi.
Sayangnya, saat ini Lukitus masih tidak mungkin bisa didekripsi.
Kampanye Locky ke-2 Mengirim Lebih Dari 62.000 Email
Dalam penelitian terpisah, perusahaan keamanan Comodo Labs menemukan sebuah kampanye spam besar-besaran sebelumnya pada bulan Agustus, yang mengirimkan lebih dari 62.000 email spam yang berisi varian baru dari ransomware Locky hanya dalam tiga hari pada tahap pertama serangan tersebut.
Dijuluki IKARUSdilapidated, varian kedua dari Locky ini telah didistribusikan menggunakan 11.625 alamat IP yang berbeda di 133 negara yang berbeda, yang kemungkinan dibuat dari botnet “komputer zombie” untuk melakukan serangan phishing terkoordinasi.
Menurut periset keamanan di Comodo, “ini adalah serangan ransomware berbasis data berskala besar, di mana varian malware baru muncul sebagai file yang tidak diketahui dan dapat tergelincir ke infrastruktur organisasi yang tidak menaruh curiga dan tidak siap.”
Serangan asli yang pertama kali diidentifikasi pada 9 Agustus dan berlangsung selama tiga hari memanfaatkan pesan email spam yang juga berisi lampiran Visual Basic Script (VBS) berbahaya, yang jika diklik, mengikuti fungsi yang sama seperti yang disebutkan dalam kasus di atas.
Penjahat cyber yang mengoperasikan varian IKARUSdilapidated Locky menuntut uang tebusan antara 0,5 Bitcoin (~$2,311) dan 1 Bitcoin (~$4,623) agar bisa mendapatkan file terenkripsi mereka kembali.
Kampanye ransomware Locky yang masif ini menargetkan puluhan ribu pengguna di seluruh dunia, dengan lima negara teratas adalah Vietnam, India, Meksiko, Turki, dan Indonesia.
