Rakhni: Evolusi Malware yang Harus Diwaspadai
Dalam artikel yang dikeluarkan Kasperky Lab ditemukan bahwa ransomware dan penambang cryptocurrency memiliki korelasi yang sangat erat. Dengan tren yang terjadi, salah satu ransomware Trojan yang telah hadir sejak 2013 yaitu Rakhni didapati telah berevolusi. Malware ini dapat menentukan komponen apa yang akan diinstall disesuaikan dengan perangkat yang disusupinya. Penyeberannya telah merebak di negara-negara Rusia, Kazakhstan, Ukrania, Jerman dan India. Kita harus lebih waspada jika perusahaan kita sering berhubungan email dengan perusahaan di negara-negara tersebut.
Email akan disusupi malware ini melalui lampiran file DOCX pada sebuah emailsampah yang berisi sebuah file PDF. Pada saat pengguna setuju untuk membuka file PDF tersebut, komputer akan meminta ijin untuk menjalankan sebuah file dari sumber yang tidak jelas (publisher: unknown) seperti tampilan di bawah ini:
Setelah kita menyetujui dengan memilih “Yes”, file PDF akan terlihat seperti membuka file seperti biasa. Malware akan memberikan pesan kesalahan kepada korban dengan menjelaskan mengapa tidak ada file yang bisa dibuka. Selanjutnya malware akanmematikan fungsi Windows Defender dan melakukan instalasi suatu sertifikat digital palsu. Selanjutnya malware akan meminta tebusan atau melakukan penambangan menggunakan perangkat kita. Pada tahap terakhir, malware akan berusaha untukmenular ke komputer lainnya yang berada di jaringan lokal kita. Apabila komputer yangsudah tertular memiliki folder yang bisa diakses oleh user lainnya, malware akan sengaja menyalin dirinya sendiri secara otomatis ke folder tersebut.
Yang menjadi perhatian saat ini adalah kemampuan Rakhni yang berevolusi. Apabila malware menemukan folder bernama Bitcoin pada komputer korban, malware akan menjalankan ransomware yang mengenkripsi file (seperti dokumen MS Office, PDF, gambar dan file backup) untuk selanjutnya meminta tebusan dalam waktu 3 hari. Apabila malware tidak menemukan folder yang terkait Bitcoin dan malware telah memastikan bahwa perangkat memiliki sumber daya yang ideal untuk menambang cryptocurrency, malware akan memasang software penambang untuk mendapatkan Monero, Monero Original atau Dashcoin tanpa kita sadari.
Langkah pencegahan apa yang harus kita lakukan?
Untuk melakukan pencegahan sejak dini, pastikan seluruh karyawan perusahaan kita memahami risiko ini dengan baik. Selalu ingatkan lingkungan kita untuk tidak membuka sembarang email khususnya dari pengirim yang tidak dikenal. Apabila kita ragu dengan lampiran yang dikirimkan, lebih baik kita menghapus email tersebut dan menghubungi pihak pengirim email untuk mengkonfirmasi ulang lampiran file yang dikirimkan. Selain itu kita harus lebih teliti ketika komputer menampilkan pesan peringatan khususnya dari aplikasi yang memiliki nama sama atau mirip dengan aplikasi yang biasa kita gunakan.
Membiasakan diri untuk menyimpan file backup di media yang terpisah secara rutin merupakan suatu tindakan yang bijaksana. Selain itu pastikan endpoint security yang perusahaan kita gunakan memiliki fitur “behavior analysis” (salah satu contohnya adalah Kaspersky Endpoint Security for Business) dan selalu terupdate untuk mengurangi celah penyusupan semaksimal mungkin.
Apabila perusahaan kita menggunakan aplikasi berbasis cloud seperti MS Office 365, kita pun harus memberikan perhatian yang lebih dibanding menggunakan mail server mandiri (termasuk menggunakan UTM dengan modul AntiSpam) yang berfungsi melakukan filter email sampah dan pengecekkan lampiran file sebelum masuk ke komputer kita. Solusi yang ditawarkan Kaspersky Security for MS Office 365 bisa menjadi pertimbangan perusahaan kita untuk memberikan pencegahan yang lebih baik dari malware.
Silahkan hubungi kami lebih lanjut terkait kebutuhan solusi Kaspersky Lab untuk Anda.