Berita Terbaru

Cara Melindungi Perangkat dari Serangan Ransomware Shrink Locker

Langkah-langkah Mengatasi Serangan Ransomware

Peneliti keamanan siber (cyber security) baru-baru ini menemukan serangan Ransomware baru yang sangat mengkhawatirkan, Bernama Shrink Locker. Berbeda dengan jenis Ransomware lainnya, Shrink Locker tidak hanya mengenkripsi file individu, namun juga secara agresif mengubah pengaturan booting komputer untuk memastikan seluruh drive terkena dampak, dengan harapan bisa mengambil alih sistem secara menyeluruh. Dengan memanfaatkan teknologi enkripsi canggih seperti BitLocker, penyerang berusaha menutup akses ke data penting milik korban, menunjukkan betapa berkembangnya metode serangan di dunia cyber saat ini.

 

Apa itu Ransomware?

Ransomware adalah salah satu jenis program jahat (Malware) yang dirancang untuk mengunci data penting di komputer dengan cara enkripsi yang sangat kompleks. Setelah data terkunci, penyerang akan memeras korban dengan permintaan tebusan yang besar, seringkali dalam bentuk cryptocurrency, untuk mengembalikan akses ke data yang telah dienkripsi tersebut. Serangan semacam ini tidak hanya merusak reputasi perusahaan, tetapi juga dapat menghancurkan finansial korban jika data yang hilang adalah data penting yang tidak dapat dipulihkan.

 

Keunikan Shrink Locker

Shrink Locker dikenal karena metode inovatifnya dalam menyerang sistem komputer. Menurut perusahaan antivirus Kaspersky, Shrink Locker menggunakan prosedur pengubahan ukuran partisi pada media penyimpanan hard drive. Langkah ini penting untuk memastikan sistem tetap dapat melakukan booting dengan benar setelah file-file menjadi terenkripsi. Jika proses ini tidak dilakukan dengan benar, maka pengguna bisa kehilangan akses permanen tidak hanya kepada data mereka, tetapi juga kepada keseluruhan sistem operasinya.

 

Dampak Shrink Locker

Dampak Shrink Lock

Adapun Shrink Locker dilaporkan telah menyerang berbagai sektor industri, termasuk perusahaan di bidang manufaktur baja, penyedia vaksin, serta entitas pemerintah. Negara-negara seperti Indonesia, Meksiko, dan Yordania telah menjadi sasaran empuk bagi serangan ini, menunjukkan bahwa tidak ada sektor yang sepenuhnya aman dari ancaman siber. Berikut adalah dampak yang ditimbulkan dari serangan Shirnk Locker.

  • Dampak pada Sektor Manufaktur Baja
    Di sektor manufaktur baja, serangan Shrink Locker dapat mengakibatkan penghentian operasional yang berdampak pada produksi dan distribusi produk. Proses produksi baja yang terganggu dapat menyebabkan keterlambatan pengiriman, hilangnya kepercayaan pelanggan, dan kerugian finansial yang besar. Industri ini sangat bergantung pada sistem komputer untuk mengelola rantai pasokan, sehingga serangan ransomware dapat melumpuhkan operasi dan menimbulkan biaya perbaikan yang tinggi.
  • Dampak pada Penyedia Vaksin
    Serangan terhadap penyedia vaksin juga sangat berbahaya, terutama di tengah pandemi global. Data yang dienkripsi oleh Shrink Locker dapat mencakup informasi penting tentang penelitian vaksin, distribusi, dan data pasien. Gangguan pada sistem penyedia vaksin dapat mengakibatkan keterlambatan dalam produksi dan distribusi vaksin, yang pada akhirnya memperlambat penanganan pandemi dan mengancam kesehatan masyarakat. Kepercayaan publik terhadap penyedia vaksin juga dapat menurun jika serangan siber ini tidak segera ditangani dengan baik.
  • Dampak pada Entitas Pemerintah
    Entitas pemerintah sering menjadi target serangan siber karena mereka mengelola data sensitif dan memiliki dampak luas terhadap keamanan nasional. Serangan Shrink Locker pada entitas pemerintah dapat mengakibatkan kebocoran data pribadi warga negara, informasi rahasia, dan operasi penting lainnya. Selain itu, serangan ini dapat mengganggu layanan publik, menghambat proses administratif, dan menimbulkan kerugian finansial yang besar. Keamanan siber di sektor pemerintah harus diperkuat untuk mencegah serangan semacam ini dan melindungi data serta operasi penting.

 

Mengapa Shrink locker Sangat Berbahaya?

Shrink Locker, seperti banyak ransomware lainnya, memiliki tujuan utama untuk mengunci data korban dan menuntut tebusan. Namun, metode yang digunakan oleh ransomware ini jauh lebih canggih dan destruktif. Berikut adalah beberapa alasan mengapa Shrink Locker dianggap sangat berbahaya:

  1. Pemanfaatan BitLocker: BitLocker adalah fitur keamanan standar yang ada dalam sistem operasi Windows, dirancang untuk melindungi data pengguna dengan mengenkripsi drive. Shrink Locker menyalahgunakan fitur ini untuk kepentingannya sendiri, mengenkripsi drive lokal korban dan memblokir akses penuh ke data berharga seperti dokumen penting, foto, dan data bisnis.

  2. Penyusutan Partisi Drive: Setelah menginfeksi sistem, Shrink Locker mengecilkan partisi drive komputer hingga hanya berukuran 100 megabyte. Ruang yang dibebaskan dari proses ini digunakan untuk membuat partisi boot yang baru dan berbahaya. Langkah ini secara fisik mengubah struktur penyimpanan di komputer korban, membuatnya hampir mustahil untuk memulihkan data tanpa kunci enkripsi yang telah dicuri.

  3. Nonaktifkan Mekanisme Pemulihan: Proses enkripsi yang dilakukan Shrink Locker tidak hanya mengunci data, tetapi juga menonaktifkan semua mekanisme pemulihan kunci dari BitLocker. Selain itu, kunci yang digunakan untuk enkripsi drive dikirim kembali ke server penyerang, memberikan kontrol penuh kepada mereka atas sistem yang telah terinfeksi.

 

Cara Kerja Shirk locker

cara kerja shrink lock

Shrink Locker adalah malware canggih yang menggunakan VBScript sebagai senjatanya. Dirancang dengan kecermatan yang tinggi, malware ini tidak hanya bertujuan untuk menyusup ke dalam sistem target tetapi juga untuk mempertahankan kontrol tanpa terdeteksi. Berikut adalah cara kerja dan teknik yang digunakan oleh Shrink Locker untuk mencapai tujuannya.

  • Tahap Awal: Mengumpulkan Informasi Sistem
    Shrink Locker memulai serangannya dengan mengumpulkan informasi penting tentang sistem operasi target, terutama versinya. Informasi ini sangat krusial karena memungkinkan malware untuk menyesuaikan teknik dan metode yang digunakan agar sesuai dengan lingkungan target. Dengan memahami secara mendalam sistem yang diserang, Shrink Locker dapat beroperasi lebih efisien dan efektif.
  • Menghindari Versi Lama Windows
    Ketika skrip mendeteksi bahwa ia berjalan pada versi Windows yang lebih kuno seperti Windows 2000, XP, 2003, atau Vista, skrip akan secara otomatis menghentikan operasionalnya. Langkah ini diambil untuk menghindari lingkungan yang terlalu berisiko, karena versi yang lebih tua cenderung memiliki keamanan yang lebih lemah dan mudah dikenali oleh banyak solusi antivirus. Sebaliknya, jika skrip mendeteksi bahwa targetnya adalah versi Windows yang lebih baru seperti Windows 7, 8, 10, atau 11, skrip ini akan melanjutkan serangannya.
  • Modifikasi Kunci Registri dan BitLocker
    Shrink Locker melakukan persiapan yang cermat pada drive lokal dan memodifikasi beberapa kunci registri penting yang menghubungkan sistem operasi dengan fitur keamanan. Dengan melakukan konfigurasi ini, malware memastikan bahwa BitLocker akan beroperasi dengan parameter yang diinginkan oleh penyerang, memberikan mereka kendali penuh atas proses enkripsi dan keamanan sistem. Ini memungkinkan penyerang untuk mengatur cara sistem mengenkripsi data, menghapus semua opsi pemulihan BitLocker yang dapat membantu pengguna memulihkan akses ke data mereka.
  • Enkripsi dan Penguncian Data
    Setelah melakukan konfigurasi, Shrink Locker mengaktifkan opsi pelindung menggunakan kata sandi numerik yang dihasilkan secara acak dan memulai proses enkripsi seluruh drive lokal dengan kata sandi tersebut. Proses ini membuat data lebih sulit diakses atau dipulihkan oleh pengguna yang sah. Dalam tahap ini, penyerang mengunci informasi penting dalam sistem dengan cara yang sangat terencana.
  • Mengirim Informasi ke Server Penyerang
    Setelah semua langkah tersebut dilakukan, Shrink Locker mengirimkan permintaan HTTP POST yang berisi kata sandi dan informasi sistem terperinci yang telah dikumpulkan ke server perintah dan kontrol yang dikelola oleh penyerang. Untuk menyembunyikan alamat server yang sebenarnya dan menghindari deteksi oleh alat keamanan, pelaku ancaman menggunakan beberapa subdomain seperti yang terdapat pada cloudflare.com.
  • Menghapus Jejak dan Menyembunyikan Serangan
    Pada tahap akhir, Shrink Locker menghapus jejaknya dengan melakukan serangkaian tindakan destruktif, termasuk menghapus file penting dari drive, membersihkan log Windows PowerShell, dan melakukan tindakan lainnya untuk memastikan tidak ada bukti digital yang dapat melacak aktivitasnya. Skrip kemudian akan memulai ulang sistem secara otomatis, memberi kesan bahwa sistem telah berfungsi kembali dengan normal, sementara semua jejak serangan telah lenyap.

 

Cara Menghindari Shrink locker

Cyber Security

Kaspersky merekomendasikan sejumlah langkah strategis yang komprehensif untuk menghindari serangan Ransomware Shrink locker, yang dikenal karena kemampuannya untuk mengenkripsi data dan membuatnya sulit diakses. Mencegah serangan ini sangat penting, terutama bagi organisasi yang memegang data sensitif, seperti rumah sakit atau perusahaan besar. Berikut ini caranya sebagaimana dirangkum KompasTekno dari keterangan resmi Kaspersky

  • Pertama, penting untuk menggunakan perangkat lunak (software) keamanan yang kuat dan dikonfigurasi dengan benar. Pastikan bahwa perangkat lunak tersebut dapat mendeteksi ancaman yang mencoba menyalahgunakan BitLocker, sebuah fitur enkripsi yang dapat dieksploitasi oleh malware untuk mengunci data Anda. Pemilihan antivirus dengan kemampuan heuristik yang baik juga dapat membantu mendeteksi ancaman sebelum mereka merusak sistem.
  • Selanjutnya,menerapkan Deteksi dan Respons Terkelola (MDR merupakan langkah yang sangat efektif. Dengan memantau ancaman secara proaktif, organisasi dapat merespons secara cepat terhadap potensi serangan sebelum mereka berkembang menjadi insiden yang lebih besar. Layanan MDR ini biasanya melibatkan tim keamanan siber yang selalu siap siaga 24/7 untuk menganalisis data ancaman dan memberikan solusi yang tepat
  • Batasi hak istimewa pengguna dengan tegas untuk mencegah pengaktifan fitur enkripsi atau modifikasi kunci registri tanpa izin yang sah. Penerapan prinsip 'least privilege' sangat penting; hanya pengguna yang diperlukan yang seharusnya memiliki akses ke fungsi kritis, sehingga mengurangi risiko kesalahan manusia atau sabotase internal
  • Aktifkan pencatatan dan pemantauan lalu lintas jaringan secara terus menerus. Ini mencakup menangkap permintaan GET dan POST karena sistem yang terinfeksi dapat mengirimkan kata sandi atau kunci ke domain penyerang. Dengan memiliki data mendetail tentang lalu lintas jaringan, tim IT dapat mengidentifikasi pola mencurigakan dan bertindak sebelum potensi serangan menjadi lebih besar
  • Selalu memantau kejadian eksekusi VBScript dan PowerShell. Ini adalah skrip yang sering digunakan oleh penyerang untuk mengotomatiskan serangan mereka. Simpan script dan perintah yang dicatat ke repositori eksternal untuk retensi aktivitas meskipun ada penghapusan lokal. Dengan cara ini, jika terjadi insiden, organisasi dapat melakukan investigasi forensik yang lebih mendalam untuk menemukan asal mula serangan dan memperbaiki celah keamanan yang ada

Shrink Locker adalah ancaman serius bagi keamanan siber yang menunjukkan betapa canggihnya metode serangan ransomware saat ini. Dengan mengubah pengaturan booting dan menggunakan enkripsi tingkat tinggi, serangan ini dapat menyebabkan kerusakan yang sangat besar. Penting bagi perusahaan dan individu untuk mengambil langkah-langkah pencegahan yang tepat untuk melindungi diri dari ancaman semacam ini. Keamanan siber harus menjadi prioritas utama dalam dunia yang semakin terhubung ini.

Bagikan artikel ini

Artikel Terpopuler

LABEL ARTIKEL TERPOPULER

Berlangganan

Berlangganan newsletter kami dan dapatkan informasi terbaru.

Artikel Terkait

Video Terkait