Lewatkan ke konten utama

Ransomware CL0P: Apa itu dan bagaimana cara kerjanya?

serangan ransomware cl0p mencuri informasi terenkripsi

Dalam beberapa tahun terakhir, ransomware cl0p telah menjadi ancaman keamanan siber utama, menyebabkan kerugian signifikan bagi berbagai organisasi dan industri di seluruh dunia. Meskipun serangan virus cl0p umumnya beroperasi dengan cara yang mirip dengan serangan ransomware lainnya, ada beberapa perbedaan spesifik.

Tapi, apa sebenarnya ransomware cl0p itu dan bagaimana cara kerjanya? Dan, mungkin yang lebih penting, apa yang dapat dilakukan organisasi untuk meminimalkan kemungkinan menjadi korban serangan ini yang dapat memiliki dampak finansial yang signifikan?

Sejarah Singkat Ransomware CL0P

Cl0p—kadang-kadang ditulis sebagai cl0p, dengan angka nol—adalah jenis ransomware atau malware pemeras. Meskipun tidak persis sama dengan CryptoMix, model ransomware cl0p diyakini telah terinspirasi dari malware yang mendahuluinya. Sekarang, trojan tersebut telah mengalami beberapa iterasi dan versi baru dengan cepat menggantikan versi sebelumnya.

Cl0p ditemukan oleh peneliti keamanan pada bulan Februari 2019 setelah serangan spear-phishing besar-besaran. Itu merupakan—dan masih tetap menjadi—ancaman siber signifikan bagi berbagai jenis bisnis dan organisasi akibat kemampuannya merusak file di perangkat korban serta memeras pembayaran finansial. Bahkan, diyakini bahwa dengan menggunakan malware spesifik mereka, grup ransomware cl0ptelah memeras uang dari konglomerat energi global, beberapa universitas besar, BBC, British Airways, dan berbagai lembaga pemerintah.

Pada tahun 2020, grup ransomware cl0p melakukan serangan untuk mengeksploitasi celah keamanan di jaringan konten pribadi Kiteworks (dahulu bernama Accellion) untuk menargetkan klien platform tersebut dan menyusup ke jaringan mereka—meskipun, clop malware itu sendiri tidak digunakan dalam serangan ini. Pada saat yang sama, pencipta trojan cl0p meluncurkan skema pemerasan ganda, membocorkan data yang dicuri dari perusahaan farmasi dalam serangan yang sangat merusak.

Ini diikuti pada tahun 2021 oleh serangan terhadap SolarWinds, sebuah perusahaan perangkat lunak yang menawarkan manajemen TI kepada berbagai bisnis, dan Swire Pacific Offshore, penyedia layanan maritim yang berbasis di Singapura.

Pada tahun 2023, aktivitas Clop melonjak dibandingkan tahun-tahun sebelumnya. Dari bulan Januari hingga Juni 2023, trojan digunakan untuk menyerang korban di berbagai industri, dengan layanan bisnis menjadi yang terdepan, diikuti oleh perangkat lunak dan keuangan. Sebagian besar korban berasal dari Amerika Utara dan Eropa, dengan AS mencatat jumlah serangan tertinggi secara signifikan.

Skala serangan ini cukup besar, dengan lebih dari 2.000 organisasi melaporkan insiden yang memengaruhi lebih dari 62 juta individu yang datanya telah bocor, terutama di Amerika Serikat.

Serangkaian serangan ransomware yang dilakukan oleh grup Cl0p melalui celah keamanan perangkat lunak transfer file MOVEit (CVE-2023-34362) mencapai puncaknya, di mana para penyerang mengeklaim telah berhasil membobol ratusan perusahaan dan memberikan ultimatum hingga 14 Juni. Zero-day tersebut memungkinkan unduhan massal data organisasi, termasuk berbagai informasi rahasia. Otoritas penegak hukum Amerika memutuskan untuk menawarkan hadiah sebesar $10 juta untuk informasi mengenai Cl0p.

Apa itu Cl0p?

Jadi, apa itu cl0p? Analisis ransomware cl0p menunjukkan bahwa itu adalah variasi dari ransomware CryptoMix. Seperti malware yang mendasarinya, virus cl0p menginfeksi perangkat yang ditargetkan. Namun, dalam kasus ini, ransomware mengganti nama semua file dengan ekstensi .cl0p dan mengenkripsinya sehingga tidak dapat digunakan.

Untuk melaksanakan serangannya secara efektif, ransomware cl0p mematuhi format Win32 PE (Portable Executable) dari file eksekusi. Yang krusial, para peneliti telah menemukan eksekusi virus cl0p yang memiliki tanda tangan terverifikasi, yang memberikan kesan sah dan membantu malware ini menghindari deteksi oleh perangkat lunak keamanan. Cl0p kemudian mengenkripsi file dengan cipher stream RS4 dan kemudian menggunakan RSA 1024 untuk mengenkripsi kunci RC4. Seluruh file di perangkat berada dalam risiko selama jenis infeksi ransomware ini, termasuk foto, video, musik, dan dokumen.

Setelah melakukan enkripsi terhadap file, virus cl0p mengeluarkan permintaan tebusan dari penyerang kepada korban. Jika tebusan ini tidak dibayar, maka penyerang mengancam akan membocorkan data dari file-file ini. Ini dikenal sebagai "pemerasan ganda" karena taktik dua lapis untuk merusak file korban dan mengancam akan membocorkan data tersebut secara publik. Korban biasanya diminta untuk membayar tebusan dengan Bitcoin atau mata uang kripto lainnya.

Siapa di balik ransomware cl0p?

Tapi siapa itu ransomware cl0p? Ransomware cl0p diyakini telah dikembangkan oleh kelompok penjahat siber ransomware-as-a-service yang berbahasa Rusia yang terutama dimotivasi oleh keuntungan finansial. Kelompok ini biasanya dikenal sebagai TA505, meskipun ini sering digunakan secara bergantian dengan nama FIN11. Namun, tidak sepenuhnya jelas apakah mereka adalah grup yang sama, atau apakah FIN11 adalah bagian dari TA505.

Apapun nama yang mereka gunakan, geng ransomware cl0p mengoperasikan produknya dengan model Ransomware-as-a-Service. Dengan demikian, virus cl0p dapat dibeli di dark web dan secara teknis dapat dimanfaatkan oleh siapa saja yang merupakan penjahat siber yang bersedia membayar untuk ransomware tersebut.

Ransomware Cl0p: Bagaimana Cara Kerjanya

Grup ransomware cl0p pada dasarnya melakukan serangannya sebagai proses bertahap. Yaitu:

  1. Para penyerang menggunakan malware untuk mendapatkan akses ke perangkat yang ditargetkan menggunakan berbagai metode.
  2. Mereka kemudian melakukan pengintaian secara manual pada perangkat dan mencuri data yang mereka inginkan.
  3. Pada tahap ini, mereka mengaktifkan enkripsi untuk mengunci file di perangkat yang menjadi target dengan mengubah ekstensi, sehingga file tersebut tidak dapat digunakan. Baru-baru ini, seperti dalam kasus serangan 2023 melalui perangkat lunak transfer file MOVEit, data telah dicuri tanpa file yang dienkripsi.
  4. Saat korban berusaha membuka salah satu file yang telah dienkripsi, mereka akan menerima catatan tebusan yang berisi instruksi tentang cara melakukan pembayaran.
  5. Penyerang menerapkan "pemerasan ganda" dengan mengancam akan membocorkan data yang dicuri dari perangkat korban jika tebusan tidak dibayarkan.
  6. Jika tebusan dibayarkan, korban akan menerima kunci dekripsi yang dapat mengembalikan file-file di perangkat mereka.

Penyerang menggunakan berbagai metode untuk mengirimkan ransomware cl0p ke perangkat yang ditargetkan. Cara ini mencakup:

  • Phishing (menggunakan teknik rekayasa sosial)
  • Mengeksploitasi celah keamanan perangkat lunak
  • Lampiran email dan tautan yang terinfeksi
  • Situs web yang terinfeksi
  • Menyusupi layanan jarak jauh eksternal

Apapun metode yang mereka pilih untuk mengirimkan trojan cl0p ke perangkat yang ditargetkan, serangan yang dihasilkan pada dasarnya beroperasi dengan cara yang sama. Tujuannya selalu untuk menerima pembayaran tebusan dari korban. Namun, dalam banyak situasi, penyerang menerima pembayaran dan kemudian tidak memberikan respons. Dalam kasus ini, korban tidak menerima kunci dekripsi dan tidak dapat mengakses kembali file mereka.

Mencegah Ransomware CL0P

Sangat penting bagi semua pengguna perangkat untuk mematuhi langkah-langkah keselamatan komputer dasar guna mencegah infeksi cl0p. Secara umum, ini adalah prinsip yang sama yang berlaku untuk mencegah semua jenis serangan siber, seperti:

  • Masukkan ancaman malware ke dalam pelatihan kesadaran keamanan organisasi untuk memastikan karyawan selalu mendapatkan informasi terbaru mengenai ancaman yang ada dan langkah-langkah pencegahan – Kaspersky Automated Security Awareness Platform dapat menjadi alat yang bermanfaat.
  • Lindungi data perusahaan, termasuk membatasi kontrol akses.
  • Jangan mengakses layanan desktop jarak jauh menggunakan jaringan publik – jika perlu, gunakan kata sandi yang kuat untuk layanan ini.
  • Selalu lakukan cadangan data dan simpan di lokasi yang terpisah, seperti penyimpanan cloud atau hard drive eksternal di area yang aman.
  • Perbarui semua perangkat lunak dan aplikasi, termasuk sistem operasi dan perangkat lunak server, agar tetap terkini untuk memastikan bahwa semua tambalan keamanan terbaru terinstal—sangat penting untuk segera menginstal patch pada solusi VPN komersial yang memungkinkan karyawan mengakses jaringan organisasi dari jarak jauh; melakukan pembaruan dan penginstalan otomatis yang dijadwalkan di luar jam kerja dapat menjadi langkah yang berguna.
  • Dapatkan informasi terkini dengan laporan intelijen ancaman terbaru.
  • Gunakan solusi perangkat lunak seperti Kaspersky Endpoint Detection atau Kaspersky Managed Detection and Response Service untuk deteksi ancaman awal guna mengidentifikasi dan menghentikan serangan pada tahap awal.
  • Gunakan solusi keamanan endpoint yang dapat diandalkan - Kaspersky Endpoint Security for Business mengintegrasikan pencegahan eksploitasi, deteksi perilaku menggunakan kecerdasan buatan, intelijen ancaman dari para ahli, pengurangan permukaan serangan, serta mesin remediasi yang mampu membalikkan tindakan berbahaya.

Menangani virus Ransomware CL0P

Setelah perangkat terinfeksi virus cl0p, sayangnya, sangat sedikit yang bisa dilakukan untuk mendapatkan kembali akses ke file-file tersebut. Sama seperti pada jenis serangan ransomware lainnya, rekomendasi umum adalah untuk tidak membayar tebusan yang diminta. Ini karena para penyerang sering kali tidak memberikan kunci dekripsi setelah menerima pembayaran tebusan. Bahkan jika mereka memberikan kunci, keberhasilan serangan tersebut memberikan kepercayaan dan dorongan bagi mereka untuk terus melanjutkan serangan terhadap korban lain yang tidak waspada.

Alih-alih membayar tebusan, biasanya lebih baik menghubungi pihak berwenang untuk melaporkan serangan dan memulai penyelidikan. Selain itu, Anda juga bisa memanfaatkan salah satu dari banyak perangkat lunak yang tersedia secara luas untuk memindai perangkat dan menghapus ransomware CL0P. Namun, ini tidak mengembalikan file yang dienkripsi selama serangan. Oleh karena itu, sangat penting untuk melakukan cadangan secara rutin dan menyimpannya di lokasi yang terpisah—seperti hard drive eksternal atau penyimpanan cloud—agar tetap tersedia jika terjadi serangan.

Kewaspadaan selalu diperlukan dalam menjaga keamanan komputer Anda. Penting untuk tetap waspada saat menjelajahi internet serta saat mengunduh, menginstal, dan memperbarui perangkat lunak.

Ancaman Cl0p

Ransomware cl0p, seperti jenis virus dan malware lainnya, adalah ancaman keamanan siber yang terus-menerus ada dalam masyarakat yang saat ini sebagian besar bergantung pada teknologi digital. Virus cl0p merupakan salah satu ancaman yang sangat spesifik di antara banyak malware pemeras, tetapi menjadi perhatian utama bagi bisnis dan organisasi. Walaupun dapat menimbulkan dampak serius bagi korbannya, terdapat beberapa langkah pencegahan dan perlindungan yang dapat diterapkan untuk membantu meminimalkan risiko serangan dari cl0p atau mengurangi konsekuensi jika serangan terjadi.

Produk dan layanan terkait:

Ransomware CL0P: Apa itu dan bagaimana cara kerjanya?

Minimalkan ancaman ransomware cl0p dengan mempelajari cara kerjanya dan cara mencegah serangan ini. Temukan lebih banyak informasi di Kaspersky Resource Center.
Kaspersky logo

Artikel terkait