Official Website PemprovSulbar-CSIRT
 
LOGO PemprovSulbar-CSIRT
Beranda Berita Gov-CSIRT Ransomware Nefilim, Jenis Ransomware Baru yang Mengancam akan Membocorkan Data Korban ke Publik

Ransomware Nefilim, Jenis Ransomware Baru yang Mengancam akan Membocorkan Data Korban ke Publik

Berita Gov-CSIRT


Jenis ransomware terbaru saat ini, tidak hanya mengenkripsi data dan meminta tebusan untuk mendapatkan kunci dekripsi, melainkan melakukan pencurian data dan mengancam akan membocorkan data ke publik. Hal ini menimbulkan ancaman ganda bagi organisasi, karena tidak hanya kehilangan akses ke file penting tetapi juga informasi rahasia organisasi juga terancam akan terungkap ke publik. Ransomware Nefilim merupakan jenis ransomware yang menggunakan skema ini.

Ransomware Nefilim mulai aktif menginfeksi pada bulan Maret 2020. Ransomware  ini menggunakan kerentanan Remote Desktop Protocol (RDP) atau kerentanan Citrix  sebagai titik masuk, dan menargetkan sistem windows. Ransomware  Nefilim telah menginfeksi beberapa perusahan besar di beberapa negara dan mempublikasikan data perusahaan tersebut di situsnya. Perusahaan tersebut, antara lain:

  • Aban Offshore (penyedia jasa pengeboran lepas pantai terbesar di India)
  • Aliansce Sonae (perusahaan manajemen untuk pusat perbelanjaan di Brazil)
  • Arteris SA (sektor infrastruktur di Brazil)
  • Cosan (produsen bioetanol, gula dan energi di Brazil)
  • Fisher & Paykel (Selandia Baru)
  • MAS Holdings (produsen pakaian terbesar di Asia Selatan)
  • Stadler Rail (pabrikan kereta api di Swiss)
  • Toll Group (perusahaan transportasi dan logistik Australia)
  • W amp;T Offshore (Teluk Meksiko)

Proses Enkripsi Ransomware nbsp;Nefilim

Ransomware  Nefilim menggunakan AES-128 untuk mengenkripsi file-file korban. Kemudian kunci enkripsi AES ini, dienkripsi menggunakan kunci publik RSA 2408. Sehingga untuk mendekripsi file, perlu mendapatkan kunci privat RSA penyerang. Untuk setiap file yang terenkripsi, ransomware  Nefilim akan menambahkan ekstensi .NEFILIM ke nama file, seperti ditunjukkan pada gambar berikut:

Setelah proses eksploitasi selesai, file catatan tebusan bernama NEFILIM-DECRYPT.txt akan dibuat di seluruh sistem. File tersebut berisi petunjuk cara menghubungi penyerang dan ancaman bahwa penyerang akan membocorkan data jika tebusan tidak dibayarkan dalam waktu tujuh hari, seperti terlihat pada gambar berikut:

Pada bulan Juli 2020, ditemukan varian lain dari Ransomware Nefilim, yaitu ekstensi file yang ditambahkan sama, namun catatan tebusannya berbeda, seperti terlihat pada gambar berikut:

Ransomware Nefilim menyediakan tautan ke situs web corpleaks yang digunakan penyerang untuk membocorkan data korban.

Berikut contoh data yang dipublikasikan di situs corpleaks:

Pada bulan Agustus 2020, ditemukan varian lain dari Ransomware Nefilim, yang menambahkan ekstensi .NEF1LIM ke nama file yang terenkripsi, namun catatan tebusan tetap sama, seperti ditunjukkan pada gambar berikut:

Perilaku Ransomware Nefilim

Ransomware Nefilim beroperasi dengan menggunakan beberapa tools  lain, seperti Mimikatz, AdFind, CobaltStrike dan MegaSync. Ransomware Nefilim telah menginfeksi sistem berminggu-minggu atau bahkan berbulan-bulan sebelum mengenkripsi data. Penyerang memanfaatkan kerentanan RDP atau Citrix nbsp;sebagai titik masuk, kemudian melakukan local exploit untuk eskalasi privilege.Setelah melakukan eskalasi privilege, penyerang menggunakan tools nbsp;Mimikatz untuk mengumpulkan kredensial dan menggunakan tools  AdFind untuk menjelajahi direktori aktif. Selain itu, penyerang juga menerapkan CobaltStrike untuk mengontrol environment. Selanjutnya, penyerang melakukan scan port untuk melihat port yang terbuka dan layanan yang tersedia di jaringan. Penyerang kemudian berpindah secara lateral di seluruh jaringan menggunakan file batch (.bat) dan kredensial yang telah berhasil didapatkan, dan mengumpulkan data-data.Penyerang kemudian menyalin data dari server/shared directory ke direktori local dan mengkompresnya menggunakan 7zipbinary.

Penyerang kemudian menginstall MEGAsync untuk eksfiltrasi data. MEGAsync adalah sebuah aplikasi yang mensinkronkan folder antara komputer dengan cloud drive.

Setelah eksfiltrasi data, WMI atau Psexec.exe digunakan untuk menyalin file .bat ke c:\windows\temp\. File .bat kemudian dieksekusi secara remote  untuk mematikan layanan dan mengeksekusi ransomware. Tahap serangan Ransomwaare Nefilim digambarkan sebagai berikut:

Fase 1 : Entry
  • Masuk melalui kerentanan RDP nbsp;atau Citrix
  • Melakukan eskalasi privilege  melalui local exploit
  • Menggunakan Mimikatz untuk mendapatkan kredensial
  • Menggunakan AdFind untuk menjelajahi active directory
  • Menerapkan CobaltStrike untuk mengontrol environment
  • Melakukan nbsp;scan port
Fase 2 : Lateral Movement di Jaringan
  • Menggunakan file .bat dan kredensial yang didapatkan dari Mimikatz
  • Melakukan pengumpulan data
Fase 3 : Eksfiltrasi Data
  • Menyalin data dari server/shared directories ke local directory dan mengkompres menggunakan 7zipbinary
  • Menginstall MegaSync untuk eksfiltrasi data
Fase 4 : Eksekusi Ransomware

(Dilakukan beberapa minggu bahkan beberapa bulan setelah compromise nbsp;awal)

  • Menggunakan WMI/Psexec.exe untuk menyalin file .bat ke c:\windows\temp\
  • Menjalankan file .bat secara remote  untuk mematikan layanan dan mengeksekusi ransomware
  • Mengenkripsi file

Indicator of Compromised

Berikut beberapa indicator of compromised yang berhasil didapatkan:

File Hashes MD5

  • 0 4F67C79B428DA67938DADEC0A1E1A4
  • 0 3EC539C138AFB99054BD362BB3ED71
  • 0 90A7E0A842E1DE70DE194054FA11B3
  • 2 C35850483C877EE23F476B38D58DEB
  • 3BEB D466BCC0977EC2DD66D72AB6BB3
  • 5FF 0E2B723EDB2D0FB27DF4FC2C4468
  • 6 9C4B68F2027905DEF1AF9249FEEBB3
  • 7 E4B9B7A83473687E5784489D556C87
  • 7 54E71D9C28E0C150CEA3377E5F70D9
  • 8 CFDA61942EB4E71F286297A1158F48
  • 8 E048D2EAE96A817B272A2A7258271C

File Hashes SHA-256

  • 5ab 34f599c6ad35fcd0a168d93c52c399c6de7d1c20f33e25cb1fdb25aec9c6

Dari hasil scanning  virus total, Nefilim juga dideteksi sebagai berikut:

Penanganan Insiden Ransomware Nefilim

Hingga artikel ini ditulis, belum ada tools nbsp;dekripsi untuk memulihkan secara gratis file yang terinfeksi Ransomware  Nefilim. Jika komputer/sistem terkena Ransomware Nefilim, maka yang harus dilakukan adalah segera menghapus ransomware  dari sistem, dan memulihkan file dari data back-up. Lebih rinci terkait penanganan insiden ransomware  terdapat pada link https //govcsirt.bssn.go.id/penanganan-dan-pencegahan-insiden-ransomware/.

Pencegahan Insiden Ransomware Nefilim

Dalam beberapa insiden, Ransomware  Nefilim dieksekusi setelah penyerang berada di dalam jaringan (penyerang berhasil menginfeksi sistem beberapa minggu atau bulan sebelum eksekusi ransomware) dan eksfiltrasi data telah dilakukan. Sehingga, penyerang bisa mengambil data dan memungkinkan untuk mempublikasikannya atau menjualnya di forum peretas atau forum lainnya. Tidak disarankan untuk membayar tebusan, bahkan jika organisasi membayar tebusan pun, penyerang masih memiliki akses terhadap data-data tersebut. Oleh karena itu upaya pencegahan adalah cara yang paling efektif. Berikut beberapa rekomendasi yang dapat dilakukan:

  1. Menutup port RDP yang tidak digunakan. Jika tidak memungkinkan untuk menutupnya, maka batasi source addresses yang dapat mengakses port.
  2. Konfigurasi pengaturan untuk memastikan bahwa hanya pengguna resmi yang dapat memperoleh akses sebagai admin RDP. Untuk akun administrator nbsp;RDP, gunakan kata sandi yang kuat dan multi-factor authentication.
  3. Lakukan monitoring jaringan untuk melihat tanda-tanda serangan.
  4. Batasi jumlah upaya login  gagal untuk mencegah login nbsp;yang tidak sah.
  5. Gunakan filter spam dan antivirus untuk mendeteksi dan memfilter email berbahaya.
  6. Selalu pastikan komputer mendapatkan patch nbsp;terbaru dan pembaruan terbaru.
  7. Melakukan nbsp;scanning nbsp;komputer menggunakan antivirus dengan pembaruan terbaru.
  8. Selalu mengaktifkan firewall nbsp;pada komputer.
  9. Lakukan nbsp;back-up  data secara berkala dengan melakukan back-up nbsp; pada media penyimpanan eksternal.
  10. Matikan nbsp;file sharing jika tidak diperlukan. Jika file sharing diperlukan, sebaiknya gunakan ACL dan kata sandi untuk membatasi akses. Nonaktifkan anonymous access untuk shared folder.
  11. Jangan membuka email yang mencurigakan dan waspada pada setiap link  yang diterima.
  12. Jangan mengunduh atau menggunakan crack nbsp;perangkat lunak dan perangkat lunak illegal.
  13. Berhati-hatilah dengan perangkat eksternal yang disambungkan ke komputer dan saat meng-install  program gratis yang ditemukan di internet.

Referensi
  1. https //www.bleepingcomputer.com/news/security/new-nefilim-ransomware-threatens-to-release-victims-data/
  2. https //www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/nefilim-ransomware-threatens-to-expose-stolen-data
  3. https //www.bleepingcomputer.com/news/security/three-more-ransomware-families-create-sites-to-leak-stolen-data/
  4. https //www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/updated-analysis-on-nefilim-ransomware-s-behavior
  5. https //www.pcrisk.com/removal-guides/17305-nefilim-ransomware
  6. https://sequretek.com/wp-content/uploads/2018/10/Sequretek-Advisory-Nefilim-Ransomware.pdf