Ymier Ransomware: Serangan Digital dengan Efisiensi Mematikan

Ransomware Ymier merupakan ancaman keamanan siber terkini yang memanfaatkan teknik canggih untuk mencuri file pengguna dan menghindari deteksi. Berbeda dari ransomware tradisional, Ymier menggabungkan strategi stealth dengan enkripsi kuat yang tidak hanya menyandera data tetapi juga mengekstraksi informasi sensitif. Setelah infeksi, file korban dienkripsi dan permintaan tebusan diajukan melalui portal anonim, seringkali melibatkan pembayaran kripto.

Tim Tanggap Darurat Global Kaspersky (Kaspersky’s Global Emergency Response Team) telah berhasil mengidentifikasi adanya jenis ransomware yang sebelumnya tidak pernah kelihatan dan aktif digunakan, yang digunakan dalam serangan yang fungsinya untuk pencurian kredensial karyawan. Ransomware yang dijuluki "Ymier" ini menggunakan metode enkripsi dan penyamaran tingkat lanjut. Ransomware ini juga secara selektif menargetkan ke file dan berupaya untuk menghindari deteksi. Ransomware Ymier memperkenalkan kombinasi unik fitur teknis dan taktik yang bisa meningkatkan efektivitasnya.

Teknik manipulasi memori yang tidak umum untuk penyamaran. Pelaku ancaman ini memanfaatkan campuran fungsi manajemen memori yang tidak konvensional malloc, memmove, dan memcmp guna mengeksekusi kode yang berbahaya secara langsung di dalam memori. Pendekatan ini telah menyimpang dari alur eksekusi sistematis yang umumnya terlihat pada jenis ransomware yang sudah tersebar luas, sehingga menunjukkan kemampuan untuk penyamarannya.

Baca Juga: Ketika Hacker Minta Roti: Permintaan Tebusan Unik dalam Serangan Ransomware

Penggunaan malware pencuri data (malware data-stealing). Di dalam serangan yang diamati oleh para ahli Kaspersky, yang telah terjadi pada sebuah organisasi di Kolombia, para pelaku kejahatan siber ini terlihat menggunakan RustyStealer, ini merupakan sejenis malware yang kini mencuri informasi, untuk mendapatkan kredensial perusahaan dari para karyawan.

Informasi ini kemudian digunakan agar dapat mendapatkan akses ke dalam sistem organisasi dan mempertahankan kendali yang cukup lama untuk menyebarkan ransomware. Jenis serangan ini biasanya dikenal sebagai perantara akses awal, di mana para penyerang ini menyusup ke dalam sistem dan mempertahankan akses. Biasanya, perantara akses awal menjual akses yang mereka dapatkan dari situs dark web kepada para pelaku kejahatan siber yang lainnya, tetapi di dalam kasus ini, mereka tampaknya melanjutkan serangan itu sendiri dengan menyebarkan ransomware.

“Jika para perantara tersebut memang pelaku yang sama dengan yang menyebarkan ransomware, ini bisa menjadi sinyal tren baru, yang menciptakan opsi pembajakan tambahan tanpa ketergantungan pada sekelompok Ransomware-as-a-Service (RaaS) tradisional,” jelas Cristian Souza, seorang Spesialis Respons Insiden di Kaspersky Global Emergency Response Team.

Algoritma enkripsi tingkat lanjut. Ransomware tersebut telah menggunakan ChaCha20, sebuah stream cipher modern yang dikenal dengan kecepatan dan keamanannya, bahkan mengungguli Advanced Encryption Standard (AES). Meskipun demikian pelaku ancaman di balik serangan ini belum juga membagikan data curian apa pun secara publik atau mengajukan tuntutan lebih lanjut, para peneliti memantaunya secara ketat untuk setiap aktivitas baru.

Baca Juga: Waspada! Risiko Keamanan Dibalik Selfie dengan KTP untuk Verifikasi Online

“Kami belum mengamati adanya kelompok ransomware baru yang muncul di dark web. Biasanya, penyerang menggunakan forum atau portal bayangan untuk membocorkan informasi sebagai cara untuk menekan korban agar mau membayarkan tebusan, tetapi ini tidak terjadi pada Ymier. Mengingat hal tersebut, pertanyaan tentang kelompok mana yang berada di balik ransomware tersebut masih belum ditemukan, dan kami menduga ini mungkin merupakan kampanye baru,” jelas Cristian.

Yang membuat Ymier menonjol adalah kemampuannya menghindari solusi keamanan berbasis tanda tangan (signature-based detection). Dengan menggunakan skrip modular, Ymier dapat memodifikasi kode eksekusi, menjadikannya sulit diidentifikasi oleh alat antivirus tradisional. Bahkan, sistem deteksi berbasis perilaku juga mengalami kesulitan karena ransomware ini mampu meniru aktivitas normal.

Metode penyebaran Ymier seringkali melalui email phishing dengan lampiran berbahaya atau tautan palsu. Selain itu, eksploitasi kerentanan perangkat lunak juga menjadi salah satu jalur utama infeksi. Serangan ini menargetkan organisasi dengan sistem keamanan yang lemah, terutama yang tidak secara rutin memperbarui perangkat lunaknya.