Ransomware Nefilim, Jenis Ransomware Baru yang Mengancam akan Membocorkan Data Korban ke Publik

Jenis ransomware terbaru saat ini, tidak hanya mengenkripsi data dan meminta tebusan untuk mendapatkan kunci dekripsi, melainkan melakukan pencurian data dan mengancam akan membocorkan data ke publik. Hal ini menimbulkan ancaman ganda bagi organisasi, karena tidak hanya kehilangan akses ke file penting tetapi juga informasi rahasia organisasi juga terancam akan terungkap ke publik. Ransomware Nefilim merupakan jenis ransomware yang menggunakan skema ini.

Ransomware Nefilim mulai aktif menginfeksi pada bulan Maret 2020. Ransomware ini menggunakan kerentanan Remote Desktop Protocol (RDP) atau kerentanan Citrix sebagai titik masuk, dan menargetkan sistem windows. Ransomware Nefilim telah menginfeksi beberapa perusahan besar di beberapa negara dan mempublikasikan data perusahaan tersebut di situsnya. Perusahaan tersebut, antara lain:

  • Aban Offshore (penyedia jasa pengeboran lepas pantai terbesar di India)
  • Aliansce Sonae (perusahaan manajemen untuk pusat perbelanjaan di Brazil)
  • Arteris SA (sektor infrastruktur di Brazil)
  • Cosan (produsen bioetanol, gula dan energi di Brazil)
  • Fisher & Paykel (Selandia Baru)
  • MAS Holdings (produsen pakaian terbesar di Asia Selatan)
  • Stadler Rail (pabrikan kereta api di Swiss)
  • Toll Group (perusahaan transportasi dan logistik Australia)
  • W&T Offshore (Teluk Meksiko)

Proses Enkripsi Ransomware Nefilim

Ransomware Nefilim menggunakan AES-128 untuk mengenkripsi file-file korban. Kemudian kunci enkripsi AES ini, dienkripsi menggunakan kunci publik RSA 2408. Sehingga untuk mendekripsi file, perlu mendapatkan kunci privat RSA penyerang. Untuk setiap file yang terenkripsi, ransomware Nefilim akan menambahkan ekstensi .NEFILIM ke nama file, seperti ditunjukkan pada gambar berikut:

Setelah proses eksploitasi selesai, file catatan tebusan bernama NEFILIM-DECRYPT.txt akan dibuat di seluruh sistem. File tersebut berisi petunjuk cara menghubungi penyerang dan ancaman bahwa penyerang akan membocorkan data jika tebusan tidak dibayarkan dalam waktu tujuh hari, seperti terlihat pada gambar berikut:

Pada bulan Juli 2020, ditemukan varian lain dari Ransomware Nefilim, yaitu ekstensi file yang ditambahkan sama, namun catatan tebusannya berbeda, seperti terlihat pada gambar berikut:

Ransomware Nefilim menyediakan tautan ke situs web corpleaks yang digunakan penyerang untuk membocorkan data korban.

Berikut contoh data yang dipublikasikan di situs corpleaks:

Pada bulan Agustus 2020, ditemukan varian lain dari Ransomware Nefilim, yang menambahkan ekstensi .NEF1LIM ke nama file yang terenkripsi, namun catatan tebusan tetap sama, seperti ditunjukkan pada gambar berikut:

Perilaku Ransomware Nefilim

Ransomware Nefilim beroperasi dengan menggunakan beberapa tools lain, seperti Mimikatz, AdFind, CobaltStrike dan MegaSync. Ransomware Nefilim telah menginfeksi sistem berminggu-minggu atau bahkan berbulan-bulan sebelum mengenkripsi data. Penyerang memanfaatkan kerentanan RDP atau Citrix sebagai titik masuk, kemudian melakukan local exploit untuk eskalasi privilege.Setelah melakukan eskalasi privilege, penyerang menggunakan tools Mimikatz untuk mengumpulkan kredensial dan menggunakan tools AdFind untuk menjelajahi direktori aktif. Selain itu, penyerang juga menerapkan CobaltStrike untuk mengontrol environment. Selanjutnya, penyerang melakukan scan port untuk melihat port yang terbuka dan layanan yang tersedia di jaringan. Penyerang kemudian berpindah secara lateral di seluruh jaringan menggunakan file batch (.bat) dan kredensial yang telah berhasil didapatkan, dan mengumpulkan data-data.Penyerang kemudian menyalin data dari server/shared directory ke direktori local dan mengkompresnya menggunakan 7zipbinary.

Penyerang kemudian menginstall MEGAsync untuk eksfiltrasi data. MEGAsync adalah sebuah aplikasi yang mensinkronkan folder antara komputer dengan cloud drive.

Setelah eksfiltrasi data, WMI atau Psexec.exe digunakan untuk menyalin file .bat ke c:\windows\temp\. File .bat kemudian dieksekusi secara remote untuk mematikan layanan dan mengeksekusi ransomware. Tahap serangan Ransomwaare Nefilim digambarkan sebagai berikut:

Fase 1 : Entry
  • Masuk melalui kerentanan RDP atau Citrix
  • Melakukan eskalasi privilege melalui local exploit
  • Menggunakan Mimikatz untuk mendapatkan kredensial
  • Menggunakan AdFind untuk menjelajahi active directory
  • Menerapkan CobaltStrike untuk mengontrol environment
  • Melakukan scan port
Fase 2 : Lateral Movement di Jaringan
  • Menggunakan file .bat dan kredensial yang didapatkan dari Mimikatz
  • Melakukan pengumpulan data
Fase 3 : Eksfiltrasi Data
  • Menyalin data dari server/shared directories ke local directory dan mengkompres menggunakan 7zipbinary
  • Menginstall MegaSync untuk eksfiltrasi data
Fase 4 : Eksekusi Ransomware

(Dilakukan beberapa minggu bahkan beberapa bulan setelah compromise awal)

  • Menggunakan WMI/Psexec.exe untuk menyalin file .bat ke c:\windows\temp\
  • Menjalankan file .bat secara remote untuk mematikan layanan dan mengeksekusi ransomware
  • Mengenkripsi file

Indicator of Compromised

Berikut beberapa indicator of compromised yang berhasil didapatkan:

File Hashes MD5

  • 004F67C79B428DA67938DADEC0A1E1A4
  • 053EC539C138AFB99054BD362BB3ED71
  • 0790A7E0A842E1DE70DE194054FA11B3
  • 26C35850483C877EE23F476B38D58DEB
  • 3BEB3D466BCC0977EC2DD66D72AB6BB3
  • 5FF20E2B723EDB2D0FB27DF4FC2C4468
  • 659C4B68F2027905DEF1AF9249FEEBB3
  • 70E4B9B7A83473687E5784489D556C87
  • 7354E71D9C28E0C150CEA3377E5F70D9
  • 80CFDA61942EB4E71F286297A1158F48
  • 86E048D2EAE96A817B272A2A7258271C

File Hashes SHA-256

  • 5ab834f599c6ad35fcd0a168d93c52c399c6de7d1c20f33e25cb1fdb25aec9c6

Dari hasil scanning virus total, Nefilim juga dideteksi sebagai berikut:

Penanganan Insiden Ransomware Nefilim

Hingga artikel ini ditulis, belum ada tools dekripsi untuk memulihkan secara gratis file yang terinfeksi Ransomware Nefilim. Jika komputer/sistem terkena Ransomware Nefilim, maka yang harus dilakukan adalah segera menghapus ransomware dari sistem, dan memulihkan file dari data back-up. Lebih rinci terkait penanganan insiden ransomware terdapat pada link https://govcsirt.bssn.go.id/penanganan-dan-pencegahan-insiden-ransomware/.

Pencegahan Insiden Ransomware Nefilim

Dalam beberapa insiden, Ransomware Nefilim dieksekusi setelah penyerang berada di dalam jaringan (penyerang berhasil menginfeksi sistem beberapa minggu atau bulan sebelum eksekusi ransomware), dan eksfiltrasi data telah dilakukan. Sehingga, penyerang bisa mengambil data dan memungkinkan untuk mempublikasikannya atau menjualnya di forum peretas atau forum lainnya. Tidak disarankan untuk membayar tebusan, bahkan jika organisasi membayar tebusan pun, penyerang masih memiliki akses terhadap data-data tersebut. Oleh karena itu upaya pencegahan adalah cara yang paling efektif. Berikut beberapa rekomendasi yang dapat dilakukan:

  1. Menutup port RDP yang tidak digunakan. Jika tidak memungkinkan untuk menutupnya, maka batasi source addresses yang dapat mengakses port.
  2. Konfigurasi pengaturan untuk memastikan bahwa hanya pengguna resmi yang dapat memperoleh akses sebagai admin RDP. Untuk akun administrator RDP, gunakan kata sandi yang kuat dan multi-factor authentication.
  3. Lakukan monitoring jaringan untuk melihat tanda-tanda serangan.
  4. Batasi jumlah upaya login gagal untuk mencegah login yang tidak sah.
  5. Gunakan filter spam dan antivirus untuk mendeteksi dan memfilter email berbahaya.
  6. Selalu pastikan komputer mendapatkan patch terbaru dan pembaruan terbaru.
  7. Melakukan scanning komputer menggunakan antivirus dengan pembaruan terbaru.
  8. Selalu mengaktifkan firewall pada komputer.
  9. Lakukan back-up data secara berkala dengan melakukan back-up  pada media penyimpanan eksternal.
  10. Matikan file sharing jika tidak diperlukan. Jika file sharing diperlukan, sebaiknya gunakan ACL dan kata sandi untuk membatasi akses. Nonaktifkan anonymous access untuk shared folder.
  11. Jangan membuka email yang mencurigakan dan waspada pada setiap link yang diterima.
  12. Jangan mengunduh atau menggunakan crack perangkat lunak dan perangkat lunak illegal.
  13. Berhati-hatilah dengan perangkat eksternal yang disambungkan ke komputer dan saat meng-install program gratis yang ditemukan di internet.

Referensi

  1. https://www.bleepingcomputer.com/news/security/new-nefilim-ransomware-threatens-to-release-victims-data/
  2. https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/nefilim-ransomware-threatens-to-expose-stolen-data
  3. https://www.bleepingcomputer.com/news/security/three-more-ransomware-families-create-sites-to-leak-stolen-data/
  4. https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/updated-analysis-on-nefilim-ransomware-s-behavior
  5. https://www.pcrisk.com/removal-guides/17305-nefilim-ransomware
  6. https://sequretek.com/wp-content/uploads/2018/10/Sequretek-Advisory-Nefilim-Ransomware.pdf