LockerGoga Ransomware, Melumpuhkan Sistem secara masiv dan tentu saja teknik enskripsi yang semakin komplek

Beberapa bulan yang lalu sebuah perusahaan Aluminum Norsk Hydro dikabarkan diserang ransomware secara besar besaran yang berdampak pada sistem secara global dan kabarnya kerugian atas serangan tersebut mencapai $35 juta.

Serangan tersebut didalangi oleh LockerGoga seperti yang telah disampaikan oleh team di Securonix .

Sebagai strategi untuk mengindari deteksi dari sistem keamanan, LockerGoga payload ditandatangani dengan sertifikat digital yang valid yang dikeluarkan oleh beberapa otoritas sertifikat. Menyebarkan malware ini memerlukan akses ke jaringan dengan Server Message Block dan layanan Active Directory.

Salah satu alasan mengapa LockerGaga sangat berbahaya dan merugikan di beberapa kasus diatas. Ya karena LockerGaga menginfeksi hampir semua sistem dengan mengkopikan ke Shared Directory melalui subsequent lateral movement kemudian menginfeksi hampir semua sistem yang terkoneksi.

Celakanya, Subsequent lateral movement adalah sebuah teknik belum pernah digunakan secara umum dalam serangan lain sebelumnya sehingga ke depannya harus dimasukkan dalam protokol untuk deteksi di masa mendatang.

LockerGaga seperti halnya ransomeware lainnya yang mengenskripsi files, beberapa varian LockerGoga memiliki kode yang sebenarnya membuat lebih sulit bagi para korban untuk membayar uang tebusan, terdapat parameter mengubah kata sandi administrator dan mencatat pengguna.

Berikut Sedikit ulasan singkat


LockerGoga Digital Certificate Used to Evade EDR Detection

Menyebabkan temporary shutdown sebuah production networks, memaksa perusahaan untuk berpindah ke manual operations.

Infiltration Vector

Kemungkinan awal infeksi melalui phishing email campaign yang berisi Microsoft Word documents atau RTF attachments dengan macro/OLE content.

LockerGoga payloads are signed with a valid digital certificate issued by multiple certificate authorities (CA) – namely Alisa Ltd., Kitty Ltd., and Sectigo and Mikl Limited – which allowed the LockerGoga TC/R attacks to evade detection. Some LockerGoga variants are also known to leverage the ‘taskkill’ command to disable antivirus (AV) and endpoint detection processes [6]. Some variants of the LockerGoga TC/R attack are capable of deleting windows event logs using wevtultil.exe [3].

ockerGoga Activity in Logs

LockerGoga mengamati pemindahan payload pada jaringan menggunakan SMB. Beberapa kasus menggunakan layanan manajemen Active Directory untuk mendistribusikan dalam jaringan. Secara khusus, binari diyakini didistribusikan menggunakan direktori NETLOGON dari akun Grup Admin Domain.

the LockerGoga TC/R menyerang dengan mengenskripsi file dengan extensions: .doc, .dot, .docx, .docb, .dotx, .wkb, .xlm, .xml, .xls, .xlsx, .xlt, .xltx, .xlsb, .xlw, .ppt, .pps, .pot, .ppsx, .pptx, .posx, .potx, .sldx, .pdf, .db, .sql, .cs, .ts, .js, and .py. Serangan tersebut menggunakan embedded RSA-1024 public key, AES-256 key dan seerti biasa ekstensi diubah ke *.LOCKED.

Password Modification

Varian LockerGoga variants dikenali memodifikasi passwor administrator accounts ke HuHuHUHoHo283283@dJD dan menjalankan logoff.exe dalam rangka memaksa log off user. LockerGoga juga melakukan scan interface Ethernet dan wireless kemudian men-disable menggunakan perintah CreateProcessW melalui commmand prompt (netsh.exe interface set interface DISABLE) dalam rangka mengisolasi keberadannya.

Beberapa varian LockerGoga juga dikenali menggunakan teknik menghindari keamanan sistem yang ada, mencakup basic anti-VM dan mekanisme anti-sandbox pada virtual environment. selebihnya LockerGAga menggunakan perintah ‘taskkill’ untuk menghentikan AVassociated processes dan menghapus log windowsmenggunakan ‘C:\Windows\ system32\wevtutil.exe cl Microsoft-Windows-WMI-Activity/Trace’ .

Nah kita tunggu perkembangan di lini masa jagad maya, akankah LockerGaga Semakin meraja lela atau sebaliknya

Referensi

Leave a Reply

Your email address will not be published. Required fields are marked *