Menurut tim FortiGuard Labs, sebuah serangan diamati dengan sasaran Korea Selatan, yang masuk melalui email phishing menggunakan berbagai konteks rekayasa sosial. Salah satu varian berpura-pura berasal dari penjual garmen online Korea Selatan yang secara salah mengklaim bahwa informasi penerima dari situs mereka telah bocor karena adanya situs web yang dihack .
Varian lain yang kami temukan mengancam bahwa situs web penerima secara hukum bertanggung jawab atas gambar yang disalahgunakan tanpa persetujuan. Kemudian disarankan agar penerima membuka file terlampir untuk memeriksa gambar yang dimaksud.
"Dan tentu saja, email tersebut menjelaskan bahwa lampiran (yang terinfeksi) harus dibuka untuk lebih jelasnya dan petunjuknya," kata Joie Salvio, peneliti di Fortinet, dalam sebuah analisis. Keterikatan itu malah memulai proses menginfeksi target dengan malware Monero-mining.
Analisis lebih lanjut mengungkapkan bahwa mekanisme muatan sesuai dengan skema yang digunakan oleh VenusLocker di kasus-kasus sebelum nya .
"Untuk mengkonfirmasi asumsi ini, kami harus melihat lebih dekat metadata file cara pintas, dan tentu saja, kami menemukan hubungan langsung dengan uang tebusan tersebut," kata Salvio. "Selain dari jalur target, file shortcut yang digunakan selama periode ransomware VenusLocker hampir sama dengan yang digunakan dalam kampanye ini."
Bisa jadi ini beralih fokus dari ransomware ke pertambangan crytocurrency adalah awal dari sebuah tren baru untuk tahun yang akan datang, berkat nilai kriptokokus yang lebih menarik dari sebelumnya. Monero, sumber terbuka kripto yang dibuat pada bulan April 2014, diperdagangkan pada sekitar $ 400 pada waktu pers.
"Dengan usaha terus-menerus industri keamanan untuk memerangi ransomware, kemampuan penjahat cyber untuk berhasil mengenkripsi file pengguna seharusnya tidak lagi menjadi kue," kata Salvio. "Misalnya, Oktober yang lalu, Microsoft menambahkan fitur akses folder Controlled ke Windows Defender Security untuk pengguna Windows 10 untuk mencegah perubahan file penting yang berbahaya (atau yang tidak terduga). Fitur seperti ini bisa secara efektif menggagalkan serangan ransomware. Yang mungkin merupakan bagian dari alasan mengapa aktor ancaman di belakang VenusLocker memutuskan untuk mengganti target. "
Author : Rama trisna pasa
Post a Comment