Siapa Ransomware Conti yang Berani Bobol Bank Indonesia?
- XCG Tech
VIVA – Akun Twitter @darktracer_int baru saja mengungkap bahwa Bank Indonesia masuk dalam barisan korban ransomware Conti.
Hal ini juga telah dikonfirmasi BI yang mengatakan bahwa jaringan mereka telah disusupi virus jahat. Lalu, apa itu ransomware Conti?
Banyak pakar keamanan siber percaya bahwa operator Conti berasal dari Rusia. Di masa lalu, kelompok tersebut pernah meretas Health Service Executive (HSE) Republik Irlandia dan Department of Health (DoH) di Broward County Public Schools dan Advantech, Kota Tulsa, Oklahoma, Amerika Serikat (AS).
Menurut situs NHS Digital seperti dikutip VIVA Tekno, Kamis, 20 Januari 2022, Conti adalah alat ransomware canggih yang menggunakan enkripsi unik untuk mengidentifikasi dan mengenkripsi file dengan sangat cepat.
Conti dioperasikan oleh grup Wizard Spider dan ditawarkan kepada afiliasi sebagai Ransomware-as-a-Service (RaaS). Tidak seperti sebagian besar ransomware, Conti menggunakan implementasi enkripsi yang sepenuhnya dipesan lebih dahulu.
Ransomware ini kemudian dikirimkan melalui email phishing yang berisi tautan ke Google docs, yang ketika diklik perangkat akan mengunduh dan menjalankan trojan Bazar Backdoor atau IcedID. Dalam serangan lain, Conti dikirimkan langsung ke jaringan target melalui layanan yang rentan.
Setelah ada di sistem, Conti akan mencoba menghapus Volume Shadow Copies dan menghentikan sejumlah layanan, menggunakan Windows Restart Manager untuk memastikan semua file yang digunakan oleh layanan ini dapat dienkripsi.
Secara default, Conti akan mengenkripsi semua file di drive SMB lokal dan jaringan serta mengabaikan file dengan ekstensi DLL, EXE, LNK, atau SYS.
File dienkripsi dengan implementasi AES-256 yang menggunakan hingga 32 utas logis individu, sehingga kinerja Conti jauh lebih cepat daripada kebanyakan ransomware.
Pemilik ransomware menggunakan taktik pemerasan ganda untuk memaksa organisasi membayar uang tebusan.
Data akan diekstraksi dari sistem yang disusupi sebelum enkripsi. Mereka mengancam akan melakukan publikasi jika organisasi memilih untuk tidak membayar uang tebusan.