Penyedia web hosting Korea Selatan, NAYANA, telah sepakat untuk membayar $1 juta dalam bitcoin ke penyerang setelah ransomware Linux menginfeksi 153 servernya, mengenkripsi 3.400 situs web bisnis dan data mereka, yang dihosting di dalamnya.
Menurut sebuah posting blog yang diterbitkan oleh NAYANA, perusahaan web hosting, kejadian malang ini terjadi pada tanggal 10 Juni ketika malware ransomware menyerang server hosting dan penyerangnya meminta 550 bitcoin (lebih dari $1,6 juta) untuk membuka file yang dienkripsi.
Namun, perusahaan tersebut kemudian melakukan negosiasi dengan penjahat cyber dan setuju untuk membayar 397,6 bitcoin (sekitar $1,01 juta) dalam tiga kali cicilan untuk mendapatkan dekripsi mereka.
Perusahaan hosting telah membayar dua kali cicilan pada saat menulis dan akan membayar angsuran uang tebusan terakhir setelah memulihkan data dari dua pertiga server yang terinfeksi.
Menurut perusahaan keamanan Trend Micro, ransomware yang digunakan dalam serangan tersebut adalah Erebus yang pertama kali ditemukan pada bulan September tahun lalu dan terlihat pada bulan Februari tahun ini dengan kemampuan bypass User Account Control Windows.
Karena server hosting berjalan di kernel Linux 2.6.24.2, periset percaya bahwa Erebus Linux ransomware mungkin telah menggunakan kerentanan yang diketahui, seperti DIRTY COW; atau eksploitasi Linux lokal untuk mengambil alih akses root dari sistem.
“Versi Apache yang NAYANA gunakan berjalan sebagai pengguna nobody(uid=99), yang mengindikasikan bahwa eksploitasi lokal mungkin juga telah digunakan dalam serangan tersebut,” catat para peneliti.
“Selain itu, situs NAYANA menggunakan versi Apache 1.3.36 dan versi PHP 5.1.4, yang keduanya diluncurkan kembali pada tahun 2006.“
Erebus, ransomware yang terutama menargetkan pengguna di Korea Selatan, mengenkripsi dokumen kantor, database, arsip, dan file multimedia menggunakan algoritma RSA-2048 dan kemudian menambahkannya dengan ekstensi .ecrypt sebelum menampilkan catatan tebusan.
“File ini pertama kali diacak dengan enkripsi RC4 di blok 500kB dengan kunci yang dihasilkan secara acak,” kata periset. “Kunci RC4 kemudian dikodekan dengan algoritma enkripsi AES, yang tersimpan dalam file. Kunci AES sekali lagi dienkripsi menggunakan algoritma RSA-2048 yang juga tersimpan dalam file.“
Kunci publik yang dihasilkan secara lokal dibagi, sementara kunci privat dienkripsi menggunakan enkripsi AES dan kunci lain yang dihasilkan secara acak.
Menurut analisis yang dilakukan oleh para periset Trend Micro, dekripsi file yang terinfeksi tidak mungkin dilakukan tanpa memegang kunci RSA.
Jadi, satu-satunya cara aman untuk mengatasi serangan ransomware adalah pencegahan. Seperti yang telah kami rekomendasikan sebelumnya, pertahanan terbaik melawan Ransomware adalah menciptakan kesadaran di dalam organisasi, serta untuk mempertahankan back-up yang dilakukan secara teratur.
Sebagian besar virus diperkenalkan dengan membuka lampiran yang terinfeksi atau mengklik link ke malware biasanya di email spam. Jadi, JANGAN KLIK pada tautan yang ada dalam email dan lampiran dari sumber yang tidak dikenal.
Selain itu, pastikan sistem dan aplikasi yang terinstal tetap up-to-date.
