Ransomware Netflim, Jenis Ransomware Baru yang Mengancam akan Membocorkan Data Korban ke Public

Jenis ransomware terbaru saat ini, tidak hanya mengenkripsi data dan meminta tebusan untuk mendapatkan kunci dekripsi, melainkan melakukan pencurian data dan mengancam akan membocorkan data ke publik. Hal ini menimbulkan ancaman ganda bagi organisasi, karena tidak hanya kehilangan akses ke file penting tetapi juga informasi rahasia organisasi juga terancam akan terungkap ke publik. Ransomware Nefilim merupakan jenis ransomware yang menggunakan skema. Ransomware Nefilim mulai aktif menginfeksi pada bulan Maret 2020. Ransomware  ini menggunakan kerentanan Remote Desktop Protocol (RDP) atau kerentanan Citrix sebagai titik masuk, dan menargetkan sistem windows. Ransomware Nefilim telah menginfeksi beberapa perusahan besar di beberapa negara dan mempublikasikan data perusahaan tersebut di situsnya. Perusahaan tersebut, antara lain :

1. Aban Offshore (penyedia jasa pengeboran lepas pantai terbesar di India)
2. Aliansce Sonae (perusahaan manajemen untuk pusat perbelanjaan di Brazil)
3. Arteris SA (sektor infrastruktur di Brazil)
4. Cosan (produsen bioetanol, gula dan energi di Brazil)
5. Fisher & Paykel (Selandia Baru)
6. MAS Holdings (produsen pakaian terbesar di Asia Selatan)
7. Stadler Rail (pabrikan kereta api di Swiss)
8. Toll Group (perusahaan transportasi dan logistik Australia)
9. W&T Offshore (Teluk Meksiko)

Proses Enkripsi Ransomware Netflim

Ransomware  Nefilim menggunakan AES-128 untuk mengenkripsi file-file korban. Kemudian kunci enkripsi AES ini, dienkripsi menggunakan kunci publik RSA 2408. Sehingga untuk mendekripsi file, perlu mendapatkan kunci privat RSA penyerang. Untuk setiap file yang terenkripsi, ransomware  Nefilim akan menambahkan ekstensi .NEFILIM ke nama file, seperti ditunjukkan pada gambar berikut :

Setelah proses eksploitasi selesai, file catatan tebusan bernama NEFILIM-DECRYPT.txt akan dibuat di seluruh sistem. File tersebut berisi petunjuk cara menghubungi penyerang dan ancaman bahwa penyerang akan membocorkan data jika tebusan tidak dibayarkan dalam waktu tujuh hari, seperti terlihat pada gambar berikut :

Pada bulan Juli 2020, ditemukan varian lain dari Ransomware Nefilim, yaitu ekstensi file yang ditambahkan sama, namun catatan tebusannya berbeda, seperti terlihat pada gambar berikut:

Ransomware Nefilim menyediakan tautan ke situs web corpleaks yang digunakan penyerang untuk membocorkan data korban.

Berikut contoh data yang dipublikasikan di situs corpleaks:

Pada bulan Agustus 2020, ditemukan varian lain dari Ransomware Nefilim, yang menambahkan ekstensi .NEF1LIM ke nama file yang terenkripsi, namun catatan tebusan tetap sama, seperti ditunjukkan pada gambar berikut:

Perilaku Ransomware Nefilim

Ransomware Nefilim beroperasi dengan menggunakan beberapa tools  lain, seperti Mimikatz, AdFind, CobaltStrike dan MegaSync. Ransomware Nefilim telah menginfeksi sistem berminggu-minggu atau bahkan berbulan-bulan sebelum mengenkripsi data. Penyerang memanfaatkan kerentanan RDP atau Citrix sebagai titik masuk, kemudian melakukan