Ryuk Ransomware: Penjelasan, Cara Kerja, dan Dampaknya
Pelajari apa itu Ryuk ransomware, cara kerjanya, dan dampaknya. Ancaman siber ini sering dikaitkan dengan Emotet dan TrickBot, menargetkan organisasi dengan serangan ransomware yang berbahaya.
Apa Itu Ryuk Ransomware?
Ryuk ransomware adalah salah satu jenis ransomware yang dirancang untuk menyerang target tertentu. Tidak seperti ransomware lainnya, Ryuk tidak bergerak lateral melalui jaringan tetapi mampu mengenkripsi drive jaringan dari komputer yang terinfeksi. Biasanya, malware ini berkolaborasi dengan Emotet dan TrickBot sebagai pintu masuk awal ke sistem.
Ryuk sering digunakan oleh penyerang untuk mengidentifikasi target yang menguntungkan. Serangan ini dilakukan dengan hati-hati, dimulai dengan eksploitasi awal, pengumpulan data, hingga evaluasi apakah target cukup bernilai untuk dieksploitasi dengan ransomware.
Bagaimana Cara Kerja Ryuk Ransomware?
Ryuk ransomware dibangun berdasarkan Hermes ransomware, seperti yang terlihat dari kesamaan struktur enkripsinya. Namun, Ryuk memiliki beberapa fitur unik yang membuatnya lebih canggih. Proses kerjanya terdiri dari tiga tahap utama:
1. Dropper
Tahap awal dimulai dengan “dropper” atau penetes malware yang memastikan malware berjalan sesuai rencana.
- Nama File: Malware menjatuhkan file dengan nama lima karakter acak, yang dihasilkan oleh algoritme tertentu.
- Lokasi File:
- Pada Windows XP atau lebih lama: \Documents and Settings\Default User
- Pada Windows versi terbaru: \users\Public
Jika proses gagal, file akan ditempatkan di direktori dropper dengan nama acak.
Dropper juga menentukan apakah malware dijalankan dalam konteks 32-bit atau 64-bit, lalu menjalankan versi yang sesuai.
2. Pengaturan Biner Ransomware
Setelah dijalankan, Ryuk tidak langsung memulai aksinya. Malware ini “tidur” sementara waktu sebelum memulai proses enkripsi. Langkah awal mencakup:
- Menghapus direktori dropper.
- Menghentikan proses penting seperti antivirus, database, dan backup menggunakan perintah taskkill.
- Pada versi lama, menambahkan entri registri untuk memastikan malware tetap aktif.
3. Proses Enkripsi File
Ryuk menggunakan algoritme enkripsi canggih dengan format khusus. Langkah terakhir adalah menyuntikkan fungsionalitas berbahaya ke dalam proses sistem yang memiliki hak istimewa tinggi, seperti:
- Menghindari target seperti explorer.exe dan csrss.exe.
- Memanfaatkan VirtualAllocEx untuk injeksi kode berbahaya.
Dampak Ryuk Ransomware
Ryuk ransomware menunjukkan tingkat profesionalisme tinggi dalam desainnya, terutama dalam penggunaan fitur seperti:
- CryptExportKey: Untuk memanfaatkan fungsi enkripsi tingkat lanjut.
- Vssadmin: Digunakan untuk menghapus cadangan sistem, memastikan korban tidak dapat memulihkan file dengan mudah.
Dampak serangan Ryuk meliputi:
- Enkripsi Data Penting: Semua file korban dienkripsi, memaksa mereka membayar tebusan untuk mendapatkan kembali akses.
- Gangguan Operasional: Target, terutama organisasi besar, sering mengalami penghentian operasional yang signifikan.
- Kerugian Finansial: Tebusan yang diminta oleh Ryuk sering kali mencapai jutaan dolar.
Pencegahan dan Perlindungan dari Ryuk Ransomware
Untuk melindungi sistem dari ancaman Ryuk ransomware, langkah-langkah berikut dapat diambil:
- Peningkatan Keamanan Email: Ryuk sering menyebar melalui Emotet dan TrickBot, yang biasanya menginfeksi melalui email phishing.
- Backup Data Secara Berkala: Pastikan cadangan data dilakukan secara teratur dan disimpan di lokasi yang terisolasi.
- Pembaruan Sistem dan Antivirus: Selalu perbarui perangkat lunak untuk menutup celah keamanan.
- Pelatihan Kesadaran Keamanan: Latih staf untuk mengenali dan menghindari email atau tautan mencurigakan.
Ryuk ransomware adalah ancaman siber yang sangat berbahaya dan terorganisir dengan baik. Dengan pendekatan yang ditargetkan, malware ini telah menyebabkan kerugian besar bagi banyak organisasi di seluruh dunia. Melalui pemahaman mendalam tentang cara kerja dan dampaknya, organisasi dapat mengambil langkah-langkah proaktif untuk melindungi diri dari ancaman ini.