Jakarta, PCplus – Kaspersky baru saja mengidentifikasi serangan ransomware yang menggunakan fitur BitLocker. Fitur milik Microsoft ini dipakai untuk mengenkripsi file perusahaan. Pelaku lalu menghapus opsi pemulihan atau “recovery” agar file tidak dapat dipulihkan. Kemudian ia menggunakan kode berbahaya dengan fitur baru untuk mendeteksi versi Windows dan mengaktifkan BitLocker sesuai dengan versi tersebut. Insiden ransomware ini diberi nama “ShrinkLocker”. Varian-varian serangannya ketahui terjadi di Meksiko, Indonesia, dan Yordania. Para pelaku menargetkan perusahaan-perusahaan di sektor manufaktur baja dan vaksin, serta entitas pemerintahan.
Baca Juga: Kaspersky NEXT – Solusi Keamanan Cyber yang Canggih
Tim Kaspersky Global Emergency Response melaporkan bahwa para pelaku menggunakan VBScript. Bahasa pemrograman yang digunakan untuk mengotomatisasi tugas-tugas pada komputer Windows. Mereka membuat kode berbahaya dengan fitur yang tidak pernah dilaporkan untuk menyebabkan kerusakan. Kode ini memeriksa versi Windows untuk mengaktifkan fitur BitLocker yang sesuai dengan versi sistem operasi.
Dengan cara ini, kode tersebut diyakini dapat menginfeksi sistem baru dan sampai lawas seperti Windows Server 2008. Jika versi sistem operasi cocok untuk serangan tersebut, skrip akan mengubah pengaturan boot dan mencoba mengenkripsi seluruh drive menggunakan BitLocker. Tindakan ini bertujuan untuk mengurung korban pada tahap selanjutnya. Penyerang juga menghapus pelindung yang digunakan untuk mengamankan kunci enkripsi BitLocker. Tujuannya supaya korban tidak dapat memulihkan filenya.
Mengirim data ke server penjahat
Skrip berbahaya kemudian mengirimkan informasi tentang sistem dan kunci enkripsi yang dihasilkan ke server yang dikendalikan oleh pelaku ancaman. Setelah itu, penyerang menutupi jejaknya dengan menghapus log. Termasuk berbagai file yang berfungsi sebagai petunjuk untuk membantu penyelidikan serangan.
Sebagai langkah terakhir, malware akan melakukan penutupan paksa siste. Sebuah kemampuan yang difasilitasi oleh pembuatan dan instalasi ulang file di partisi boot terpisah. Terakhir korban hanya bisa melihat layar bertuliskan: “Tidak ada lagi opsi pemulihan BitLocker di PC Anda.”
Kaspersky menjuluki skrip ini sebagai “ShrinkLocker” karena nama ini menyoroti prosedur penting perubahan ukuran partisi. Proses ini penting bagi penyerang untuk memastikan sistem melakukan booting secara benar dengan kondisi file terenkripsi.
Seperti pedang bermata dua
Cristian Souza, Incident Response Specialist di Kaspersky Global Emergency Response Team, mengatakan ada hal yang sangat memprihatinkan dalam kasus ini. “BitLocker, yang awalnya dirancang untuk mengurangi risiko pencurian atau eksploitasi data, telah digunakan kembali oleh musuh untuk tujuan berbahaya. Sungguh ironi bahwa tindakan pengamanan dijadikan senjata dengan cara seperti ini. Bagi perusahaan yang menggunakan BitLocker, penting untuk memastikan kata sandi yang kuat dan penyimpanan kunci pemulihan yang aman. Pencadangan rutin, disimpan secara offline, dan diuji juga merupakan perlindungan yang penting,” kata Souza.
Untuk mencegah penyerang mengeksploitasi kantor atau perusahaan kamu, para pakar Kaspersky merekomendasikan langkah-langkah mitigasi berikut:
- Gunakan perangkat lunak keamanan yang kuat dan dikonfigurasi dengan benar untuk mendeteksi ancaman yang mencoba menyalahgunakan BitLocker.
- Terapkan Deteksi dan Respons Terkelola (MDR) untuk memantau ancaman secara proaktif.
- Batasi hak istimewa pengguna untuk mencegah pengaktifan fitur enkripsi atau modifikasi kunci registri tanpa izin.
- Aktifkan pencatatan dan pemantauan lalu lintas jaringan, menangkap permintaan GET dan POST, karena sistem yang terinfeksi dapat mengirimkan kata sandi atau kunci ke domain penyerang.
- Selalu memonitor kejadian eksekusi VBScript dan PowerShell, simpan skrip dan perintah yang dicatat ke repositori eksternal untuk retensi aktivitas meskipun ada penghapusan