Shopping cart

Magazines cover a wide array subjects, including but not limited to fashion, lifestyle, health, politics, business, Entertainment, sports, science,

TnewsTnews
  • Home
  • Case Studies
  • Analisis Ransomware Black Basta: Ancaman Siber yang Kian Mengkhawatirkan
Case Studies

Analisis Ransomware Black Basta: Ancaman Siber yang Kian Mengkhawatirkan

Analisis Ransomware Black Basta: Ancaman Siber yang Kian Mengkhawatirkan

Ransomware menjadi salah satu ancaman siber terbesar yang dihadapi oleh berbagai industri. Salah satu varian yang semakin populer dan berbahaya adalah Black Basta. Ransomware ini pertama kali muncul pada April 2022 dan dengan cepat berkembang menjadi ancaman serius bagi berbagai sektor bisnis di seluruh dunia. Black Basta dikenal sebagai bagian dari model Ransomware-as-a-Service (RaaS), yang memungkinkan penjahat siber tanpa infrastruktur sendiri untuk menyewa dan menggunakan ransomware ini dalam serangan mereka.

Black Basta merupakan ancaman serius

Target dan Dampak Serangan

Black Basta menyerang berbagai sektor privat sejak awal 2022, termasuk konstruksi, jasa profesional, manufaktur, keuangan, dan media. Keragaman target menunjukkan bahwa semua sektor berisiko menjadi korban.

Black Basta menargetkan berbagai industri, termasuk:

  • Konstruksi
  • Jasa profesional
  • Mode (fashion)
  • Manufaktur
  • Transportasi
  • Keuangan
  • Ritel
  • Media

Karena cakupan sasarannya yang luas, hampir semua sektor dapat menjadi target di masa mendatang. Black Basta terutama menargetkan negara-negara berbahasa Inggris seperti Amerika Serikat, Inggris, Australia, Kanada, dan Selandia Baru, serta beberapa negara di Eropa Barat.

Dampak Serangan

  1. Gangguan Operasional: Data terenkripsi menghentikan aktivitas bisnis.
  2. Pemerasan Ganda (Double Extortion):
    • Data dicuri dan diancam dipublikasikan di dark web jika tebusan tidak dibayar.
    • Contoh: Data Pendragon bisa bocor ke forum kriminal.
  3. Kerugian Reputasi: Publikasi data sensitif merusak kepercayaan pelanggan dan mitra.

Tingkat Keparahan

Black Basta memiliki tingkat keparahan tinggi, karena serangannya hampir selalu mengarah pada:

  • Enkripsi data sensitif, mengunci akses korban terhadap file mereka.
  • Pencurian data, yang digunakan untuk pemerasan finansial.
  • Eksposur terhadap ancaman reputasi, di mana data yang tidak ditebus dapat dipublikasikan di dark web.

Salah satu contoh kasus besar adalah serangan terhadap Pendragon, sebuah perusahaan otomotif, yang diminta membayar tebusan sebesar $60 juta (setara dengan £53 juta).

Produk Terdampak

Sistem Operasi Keterangan
Windows OS Semua versi rentan.
Linux OS & VMware-Linux Serangan difokuskan pada virtualisasi.

Metode Penyebaran dan Mekanisme Serangan

Teknik Infiltrasi

Black Basta biasanya menginfeksi sistem melalui spear phishing—email berbahaya yang dirancang untuk mengelabui korban agar mengunduh malware atau mengungkapkan kredensial mereka. Setelah berhasil menginfeksi sistem, ransomware ini akan mengenkripsi file secepat mungkin menggunakan segmentasi 64 dan 128 byte, dengan tujuan mengeksekusi serangan sebelum sistem keamanan mendeteksi aktivitasnya.

Karakteristik Teknis

  • Bahasa Pemrograman: C++.
  • Sistem Operasi Terdampak: Windows, Linux, dan VMware berbasis Linux.
  • Metode Enkripsi: Mengenkripsi data dalam segmen 64/128 byte untuk mempercepat proses sebelum terdeteksi.
  • Akses Awal: Spear-phishing sebagai vektor utama.

Sistem yang Terpengaruh

Black Basta dirancang untuk menyerang berbagai sistem operasi, termasuk:

  • Windows OS
  • Linux OS dan lingkungan berbasis VMware

Strategi Pemerasan

Black Basta menggunakan teknik double extortion, yang berarti mereka tidak hanya mengenkripsi data korban, tetapi juga mengancam untuk membocorkannya secara publik jika tebusan tidak dibayarkan.

Deteksi dan Indikator Kompromi

Deteksi Kerentanan

  • EDR (Endpoint Detection and Response): Solusi seperti Microsoft Defender dapat mendeteksi aktivitas mencurigakan sebelum ransomware menyebar.
  • Tanda Serangan: File Readme.txt muncul sebagai catatan tebusan.

Salah satu tanda pertama serangan Black Basta adalah kemunculan catatan tebusan berjudul Readme.txt. Untuk mendeteksi adanya infeksi, organisasi dapat mengandalkan solusi Endpoint Detection and Response (EDR) seperti Microsoft Defender.

Beberapa indikator kompromi yang terkait dengan Black Basta antara lain:

  • File hash SHA-256 terkait:
    • 17205c43189c22dfcb278f5cc45c2562f622b0b6280dcd43cc1d3c274095eb90
    • 5d2204f3a20e163120f52a2e3595db19890050b2faa96c6cba6b094b0a52b0aa
    • 7883f01096db9bcf090c2317749b6873036c27ba92451b212b8645770e1f0b8a
  • File hash MD5 terkait:
    • 8917af3878fa49fe4ec930230b881ff0ae8d19c9
    • a996ccd0d58125bf299e89f4c03ff37afdab33fc
  • Alamat IP terkait:
    • 23[.]106[.]160[.]188
  • File yang dibuat oleh malware:
    • %Temp%\fkdjsadasd.ico
    • %Temp%\dlaksjdoiwq.jpg
  • Proses yang dijalankan oleh ransomware:
    • cmd.exe /c C:\Windows\SysNative\vssadmin.exe delete shadows /all /quiet
    • cmd.exe /c C:\Windows\System32\vssadmin.exe delete shadows /all /quiet
  • Kunci Registry yang dibuat:
    • HKEY_CLASSES_ROOT.basta

Strategi Pencegahan dan Mitigasi

Untuk melindungi sistem dari serangan Black Basta, organisasi disarankan untuk menerapkan langkah-langkah berikut:

  1. Pelatihan Karyawan terhadap Spear Phishing
    • Karena Black Basta sering menggunakan spear phishing, organisasi perlu memberikan pelatihan bagi karyawan agar dapat mengenali email mencurigakan.
  2. Implementasi Endpoint Detection and Response (EDR)
    • Solusi EDR seperti Microsoft Defender dapat mendeteksi dan menghentikan aktivitas ransomware sebelum menyebabkan kerusakan besar.
  3. Backup Data Secara Berkala
    • Menyimpan cadangan data secara rutin, termasuk menyimpan salinan offline, akan membantu organisasi pulih lebih cepat setelah serangan.
  4. Pemantauan Jaringan untuk Tanda-tanda Kompromi
    • Aktivitas mencurigakan seperti akses tidak sah, enkripsi file yang tidak biasa, atau penghapusan bayangan salinan data harus segera diinvestigasi.
  5. Penerapan Prinsip Zero Trust Security
    • Menggunakan model keamanan Zero Trust memastikan bahwa setiap akses ke sistem diverifikasi secara ketat, mengurangi kemungkinan eksploitasi.

Lanskap Ancaman dan Prospek Masa Depan

Ransomware Black Basta semakin populer di kalangan aktor ancaman. Pada Oktober 2022, Black Basta tercatat sebagai varian ransomware ketiga yang paling banyak digunakan. Mengingat permintaan tebusan yang semakin tinggi dan peningkatan serangan terhadap perusahaan besar, kemungkinan besar tren ini akan terus berlanjut.

Lanskap Ancaman

  • Peringkat Global: Black Basta menjadi ransomware ketiga paling aktif pada Oktober 2022.
  • Target Geografis: Fokus pada negara berbahasa Inggris (AS, Inggris, Australia) dan Eropa Barat.
  • Prediksi: Ancaman akan terus meningkat seiring adopsi model Ransomware as a Service (RaaS).

Profil Grup Ancaman

  • Taktik: Pemerasan ganda (double extortion) untuk meningkatkan tekanan pada korban.
  • Profil Pelaku: Diduga terdiri dari cyber criminal berpengalaman dengan pengetahuan mendalam tentang taktik ransomware.

Kelompok Penyerang dan Teknik MITRE ATT&CK

Black Basta diyakini dikembangkan oleh kelompok kriminal siber yang sudah berpengalaman. Beberapa teknik MITRE ATT&CK yang digunakan dalam serangan mereka meliputi:

  • Akses Awal:
    • T1078 – Valid Accounts
    • T1566.001 – Spear-phishing Attachment
  • Eksekusi:
    • T1059 – Command and Scripting Interpreter
    • T1047 – Windows Management Instrumentation
  • Eskalasi Hak Istimewa:
    • T1078 – Valid Accounts
  • Penyembunyian Jejak:
    • T1112 – Modify Registry
    • T1027 – Obfuscate Files or Information
  • Pencurian Kredensial:
    • T1003 – OS Credential Dumping
  • Eksfiltrasi Data:
  • Dampak Serangan:
    • T1490 – Inhibit System Recovery
    • T1486 – Data Encrypted for Impact

Metodologi MITRE ATT&CK

Taktik Teknik ID
Initial Access Spear-phishing Attachment T1566.001
Execution Command and Scripting Interpreter T1059
Defense Evasion Obfuscate Files or Information T1027
Discovery File and Directory Discovery T1083
Impact Data Encrypted for Impact T1486

Rekomendasi Tambahan

  • Segmentasi Jaringan: Pisahkan sistem kritis dari jaringan umum.
  • Zero Trust Architecture: Batasi akses berdasarkan prinsip least privilege.
  • Pemantauan Log: Lacak aktivitas mencurigakan seperti modifikasi registry atau penghapusan shadow copies.

Black Basta merupakan ancaman serius dengan dampak finansial dan reputasi yang masif. Organisasi harus memprioritaskan:

  1. Pelatihan kesadaran keamanan.
  2. Implementasi EDR dan backup offline.
  3. Pemantauan proaktif terhadap IoC.

Black Basta adalah ransomware yang semakin berbahaya dan menargetkan berbagai sektor industri. Dengan metode double extortion, kelompok peretas di balik Black Basta tidak hanya mengenkripsi data korban tetapi juga mengancam akan membocorkannya jika tuntutan tebusan tidak dipenuhi. Untuk menghadapi ancaman ini, organisasi perlu menerapkan strategi keamanan siber yang lebih ketat, termasuk pelatihan karyawan, pemantauan jaringan, dan implementasi sistem deteksi dini seperti EDR. Dengan langkah-langkah ini, risiko terhadap ransomware Black Basta dapat dikurangi secara signifikan.

 

Related Tag:

Leave a Reply

Your email address will not be published. Required fields are marked *

Related Posts