Sebuah ransomware jenis baru telah diluncurkan para penjahat maya. Uniknya, ransomware bernama Snake ini tidak membidik sistem Windows atau Linux.
Keluarga ransomware baru, Snake atau Ekans, dirancang para penjahat maya untuk menyerang organisasi atau perusahaan yang mengoperasikan industrial control system. Sedikitnya dua perusahaan telah menjadi korban ransomware ini.
Snake bekerja dengan formula ransomware klasik. Ransomware ini akan mengenkripsi file di jaringan target dan menuntut uang tebusan untuk mendekripsi file korban. Namun ada yang unik dari Snake. Tidak membidik sistem Windows dan Linux seperti ransomware enterprise pada umumnya, Snake membidik industrial control system (ICS). Meski begitu threat actor di balik Snake menggunakan teknik yang sama, yakni memanfaatkan Remote Desktop Protocol instance dengan password yang lemah untuk bisa measuk ke lingkungan ICS dan menyebarkan ransomware.
Ransomware Snake pertama kali ditemukan oleh vendor security SentinelOne yang sedang mengobservasi target campaign terhadap industri yang mengoperasikan ICS dan sistem SCADA. Setidaknya sudah dua perusahaan dilaporkan mengalami serangan Snake, yaitu produsen mobil Honda dan perusahaan listrik Eropa Enel Group.
Kedua perusahaan telah mengkonfirmasi adanya serangan ransomware Snake. Keduanya juga menyatakan bahwa kini mereka sudah kembali beroperasi dan tidak ada kebocoran informasi serta data pelanggan/personal.
Meski sejauh ini tidak atau belum ada korban keganasan Snake, kehadiran ransomware baru ini akan memperluas lansekap ancaman ransomware. Sophos senior threat researcher said Snake has broadened the ransomware threat landscape.
"Ekans menambahkan dimensi baru dalam serangan terhadap industrial control systems, sehingga risikonya tidak hanya di back office tapi juga pada operasi produksi dan manufaktur. Kemampuan Ekans memang masih agak terbatas, tapi tetap saja berbahaya bagi perusahaan yang memiliki jaringan IT dan OT terintegrasi. Cara terbaik untuk mencegah ini adalah menjaga kontrol-kontrol industri pada jaringan tersendiri, terpisah dari sistem korporat dan internet; juga melindungi semua sistem berbasis sistem operasi komersial dengan backup dan perlindungan endpoint,”saran Sean Gallagher, senior threat researcher Sophos seperti dikutip dari SearchSecurity.
Peneliti di Kaspersky menduga serangan Snake sudah dilancarakan kepada banyak organisasi di berbagai negara, seperti China, Jepang, dan Jerman. Serangan mungkin bisa dihentikan jika komputer di lingkungan ICS telah terproteksi. Tanpa perlindungan yang memadai, Snake kemungkinan sudah mengenkripsi file-file di jaringan korbannya.
Sementara peneliti SentinelOne mengatakan, Snake unik karena dirancang khusus untuk menyerang ICS. Namun metode eksploitasi yang digunakan threat actor-nya mirip dengan metode yang dipakai oleh ransomware tradisional.
Beberapa kampanye Snake/Ekans memanfaatkan kelemahan pada server RDP sebagai jalan masuk. Oleh karena itu, organisasi disarankan untuk memahami setiap “jalan masuk” ke jaringan dan memperkuatnya.
Serangan Snake tidak berlangsung cepat. Ransomware ini bekerja berminggu-minggu bahkan berbulan-bulan. Proses penarikan data sebelum ransomware diluncurkan adalah proses yang memakan waktu palig lama, karena si penjahat maya mengumpulkan data dalam volume besar, bahkan mencapai terabyte. Menurut para ahli di SentinelOne, di sinilah keuntungan organisasi. Dengan visibilitas yang menyeluruh, organisasi dapat mendeteksi perkembangan aktivitas ransomware ini. Di samping itu, organisasi juga harus memiliki cybersecurity hygiene yang baik.