Awas! Satu jenis ransomware baru dikabarkan mulai bergentayangan mencari mangsa dan mengancam cyber security di berbagai perusahaan.
Dirilis pada bulan Maret 2023, pembuat ransomware bernama Akira ini mengeklaim sudah menyerang enam belas perusahaan dari berbagai sektor industri, termasuk pendidikan, keuangan, real estate, manufaktur, dan konsultan.
Ditemukan sampelnya oleh MalwareHunter Team, ransomware bernama Akira ini bekerja dengan cara mengenkripsi data, memodifikasi nama file yang terinfeksi, dan membuat ransom note.
Seperti operasi ransomware pada umumnya, Akira akan menembus jaringan perusahaan dan menyebar secara lateral ke perangkat-perangkat lain. Begitu threat actor berhasil mendapatkan kredensial admin domain Windows, mereka akan menyebarkan ransomware di seluruh jaringan.
Namun perlu diketahui, Akira tidak hanya menkripsi data untuk meminta tebusan. Pelaku juga akan mencuri data perusahaan korban untuk kepentingan pemerasan yang akan mereka lancarkan. Mereka akan memperingatkan korban bahwa data itu akan dirilis ke publik jika uang tebusan tidak dibayarkan.
Saat dieksekusi, Akira akan menghapus Windows Shadow Volume Copies pada perangkat yang terinfeksi dengan menjalankan PowerShell Command:
powershell.exe -Command "Get-WmiObject Win32_Shadowcopy | Remove-WmiObject"
Selanjutnya, ransomware akan mengenkripsi file dengan ekstensi file berikut:
.accdb, .accde, .accdc, .accdt, .accdr, .adb, .accft, .adf, .ade, .arc, .adp, .alf, .ora, .btr, .ask, .cat, .bdf, .ckp, .cdb, .cpd, .cma, .dad, .dacpac, .daschema, .dadiagrams, .db-shm, .db-wal, .dbf, .dbc, .dbt, .dbs, .dbx, .dbv, .dct, .dcb, .ddl, .dcx, .dlis, .dsk, .dqy, .dtsx, .dsn, .eco, .dxl, .edb, .ecx, .exb, .epim, .fdb, .fcd, .fmp, .fic, .fmpsl, .fmp12, .fol, .fpt, .gdb, .frm, .gwi, .grdb, .his, .hdb, .idb, .itdb, .ihx, .jet, .itw, .kdb, .jtx, .kexic, .kexi, .lgc, .kexis, .maf, .lwx, .mar, .maq, .mav, .mas, .mdf, .mdb, .mrg, .mpd, .mwb, .mud, .ndf, .myd, .nrmlib, .nnt, .nsf, .nyf, .nwdb, .oqy, .odb, .owc, .orx, .pdb, .pan, .pnz, .pdm, .qvd, .qry, .rctd, .rbf, .rodx, .rod, .rsd, .rpd, .sbf, .sas7bdat, .sdb, .scx, .sdf, .sdc, .spq, .sis, .sqlite, .sql, .sqlitedb, .sqlite3, .temx, .tps, .tmd, .trm, .trc, .udl, .udb, .usr, .vpd, .vis, .wdb, .vvv, .wrk, .wmdb, .xld, .xdb, .abcddb, .xmlff, .abx, .abs, .adn, .accdw, .icg, .hjt, .kdb, .icr, .maw, .lut, .mdt, .mdn, .vhd, .vdi, .pvm, .vmdk, .vmsn, .vmem, .nvram, .vmsd, .raw, .vmx, .subvol, .qcow2, .vsv, .bin, .vmrs, .avhd, .avdx, .vhdx, .iso, .vmcx
Ketika sedang melakukan enkripsi, encryptor Akira akan melewatkan file yang ada di folder Recycle Bin, System Volume Information, Boot, ProgramData, dan Windows. Jenis file lain yang dihindari encyrptor Akira adalah .exe, .lnk, .dll, .msi, dan .sys pada file sistem Windows.
File yang dienkripsi Akira akan mendapat tambahan ekstensi .akira di belakang namanya. Misalnya, ketika file bernama 1.doc dienkripsi, Akira akan mengganti namanya menjadi 1.doc.akira.
Dikutip dari BleepingComputer.com, Akira juga menggunakan Windows Restart Manager API untuk menutup proses atau mematikan Windows service yang mungkin membuat file tetap terbuka dan mencegah enkripsi.
Setelah itu, ransomware Akira akan membuat file ransom note (catatan tebusan) akira_readme.txt di setiap folder yang dienkripsi. Catatan ini akan memuat informasi tentang apa yang bakal terjadi pada file-file milik korban dan juga berisi tautan ke situs web kebocoran data (data leak) dan situs web untuk negosiasi.
Setiap korbannya akan menerima password unik untuk mengakses situs web negosiasi. Situs web ini berisi sistem chat yang bisa digunakan korba untuk berkomunikasi dengan pelaku.
Sampai saat berita tentang Akira ini diturunkan oleh BleepingComputer pada tanggal 7 Mei lalu, Akira dikabarkan telah membocorkan data empat korbannya di situs web kebocoran data Akira, dengan volume data mulai dari 5,9GB hingga 259GB per perusahaan. Sementara jumlah uang tebusan yang diminta berkisar dari US$200 ribu hingga jutaan dolar AS. Para pelaku kejahatan cyber security ini juga bersedia menurunkan jumlah tebusan jika korbannya tidak meminta decryptor tapi hanya menginginkan datanya tidak dibocorkan.