Sebuah worm ransomware baru yang tersebar luas, dikenal sebagai “Bad Rabbit,” yang menyerang lebih dari 200 organisasi besar, terutama di Rusia dan Ukraina minggu ini memanfaatkan sebuah eksploitasi NSA yang dicuri dan dibocorkan oleh Shadow Broker April tahun ini untuk menyebar di jaringan korban.
Dilansir dari sebuah laporan terbaru Cisco Talos Security Intelligence, diungkapkan bahwa ransomware Bad Rabbit memang menggunakan eksploitasi EternalRomance.
Bad Rabbit Menggunakan EternalRomance SMB RCE Exploit
Ransomware Bad Rabbit tidak menggunakan EternalBlue namun memanfaatkan EternalRomance RCE untuk menyebar di jaringan korban.
Microsoft dan F-Secure juga mengkonfirmasi adanya eksploitasi di ransomware Bad Rabbit.
EternalRomance adalah eksploitasi remote code execution yang memanfaatkan kelemahan (CVE-2017-0145) di Microsoft Windows Server Message Block (SMB), sebuah protokol untuk mentransfer data antara komputer Windows yang terhubung, untuk melewati keamanan melalui koneksi file-sharing, sehingga memungkinkan remote code execution pada klien dan server Windows.
Seiring dengan EternalChampion, EternalBlue, EternalSynergy dan eksploitasi NSA lainnya yang dikeluarkan oleh Shadow Brokers, kerentanan EternalRomance juga di patch oleh Microsoft pada bulan Maret ini dengan diluncurkannya buletin keamanan (MS17-010).
Bagaimana Ransomware Bad Rabbit Tersebar di Jaringan
Menurut Cisco Talos, Bad Rabbit mengandung kode yang menggunakan EternalRomance, memungkinkan malware menyebar dari komputer yang terinfeksi ke target lain dengan lebih efisien.
“Kami bisa sangat yakin bahwa BadRabbit menyertakan implementasi EternalRomance yang digunakan untuk menimpa konteks keamanan sesi kernel agar bisa meluncurkan layanan jarak jauh, sementara di Nyetya digunakan untuk menginstal backdoor DoublePulsar,” kata para peneliti Talos.
“Kedua tindakan itu dimungkinkan karena fakta bahwa EternalRomance memungkinkan penyerang untuk read/write data arbitrary ke dalam ruang memori kernel.”
Apakah Aktor Dibalik Bad Rabbit dan NotPetya adalah Penyerang Yang Sama?
Para periset percaya bahwa “sangat mungkin” penyerang di balik kedua wabah ransomware Bad Rabbit dan NotPetya adalah aktor yang sama.
“Sangat mungkin kelompok hacker yang sama berada di belakang serangan ransomware BadRabbit pada tanggal 25 Oktober 2017 dan epidemi virus NotPetya, yang menyerang sektor energi, telekomunikasi dan keuangan di Ukraina pada bulan Juni 2017,” perusahaan keamanan Rusia Group IB mencatat.
“Penelitian mengungkapkan bahwa kode BadRabbit dikompilasi dari NotPetya. BadRabbit memiliki fungsi yang sama untuk komputasi hash, logika distribusi jaringan dan proses penghapusan log, dan lain-lain.”
NotPetya sebelumnya telah dikaitkan dengan kelompok hacking Rusia yang dikenal sebagai tim BlackEnergy dan Sandworm, namun karena Bad Rabbit terutama menargetkan Rusia juga, tidak semua orang merasa yakin dengan asumsi di atas.
