Ransomware ‘ARCrypter’ yang sebelumnya tidak dikenal yang mengkompromikan organisasi utama di Amerika Latin kini memperluas serangannya ke seluruh dunia.
Pelaku ancaman di balik keluarga ransomware baru menyerang sebuah lembaga pemerintah di Chili Agustus lalu, menargetkan sistem Linux dan Windows dan menambahkan ekstensi “.crypt” pada file terenkripsi.
Saat itu, analis ancaman Chili Germán Fernández mengatakan kepada BleepingComputer bahwa strain tersebut muncul sepenuhnya baru, tidak terkait dengan keluarga ransomware yang dikenal.
Para peneliti di BlackBerry telah mengkonfirmasi hal ini melalui laporan yang mengidentifikasi keluarga tersebut sebagai ARCrypter dan menautkannya ke a serangan kedua melawan Institut Pengawasan Obat dan Makanan Nasional Kolombia (Invima) pada bulan Oktober.
BlackBerry juga memperingatkan bahwa ARCrypter kini memperluas operasinya di luar Amerika Latin dan menargetkan berbagai organisasi di seluruh dunia, termasuk China dan Kanada.
BleepingComputer mengonfirmasi perluasan ini, juga melihat korban ARCrypter di Jerman, AS, dan Prancis.
Tuntutan tebusan bervariasi dan mendapatkan serendah $5.000 dalam beberapa kasus dilihat oleh BleepingComputer, jadi ARCrypter beroperasi sebagai pelaku ransomware tingkat menengah.
Detail ARCrip
BlackBerry mengatakan sampel pertama ARCrypter muncul pada awal Agustus 2022, beberapa minggu sebelum serangan Chile.
Vektor serangan masih belum diketahui, tetapi analis dapat menemukan dua URL AnonFiles yang digunakan sebagai sumber jarak jauh untuk mengambil arsip “win.zip” yang berisi “win.exe”.
Yang dapat dieksekusi adalah file penetes yang berisi sumber daya BIN dan HTML. HTML menyimpan data catatan tebusan, sedangkan BIN berisi data terenkripsi yang memerlukan kata sandi.
.png)
Jika kata sandi diberikan, BIN akan membuat direktori acak pada mesin yang disusupi untuk menyimpan muatan tahap kedua, yang diberi nama menggunakan karakter alfanumerik acak.
“Meskipun kami tidak dapat mengidentifikasi kunci dekripsi yang benar yang digunakan untuk mendekripsi sumber daya BIN, kami yakin dengan tingkat kepastian yang tinggi bahwa muatan kedua adalah ransomware ARCrypter,” kata BlackBerry dalam laporan tersebut.
Payload ARCrypter kemudian membuat persistensi dengan menambahkan kunci registri berikut:
“HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SecurityUpdate”
Selanjutnya, malware menghapus semua Salinan Volume Bayangan untuk mencegah pemulihan data yang mudah, memodifikasi pengaturan jaringan untuk mengamankan konektivitas yang stabil, dan kemudian mengenkripsi semua file kecuali untuk jenis yang ditunjukkan di bawah ini.
File di lokasi kritis seperti folder “Boot” dan “Windows” juga dilewati untuk menghindari rendering sistem benar-benar tidak dapat digunakan.
Terlepas dari ekstensi ‘.crypt’, file terenkripsi akan menampilkan pesan ‘SEMUA FILE ANDA TELAH DIENKRIPSI’ pada pengelola file, berkat modifikasi pada kunci Registri berikut:
HKCU\Control Panel\International\sShortDate
HKLM\SYSTEM\ControlSet001\Control\CommonGlobUserSettings\Control Panel\International\sShortDate.png)
Sementara pelaku ancaman mengklaim mencuri data selama serangan mereka, operasi ransomware saat ini tidak memiliki situs kebocoran data yang mereka gunakan untuk mempublikasikan data korban yang belum dibayar.
Saat ini, sedikit yang diketahui tentang operator ARCrypter, asal, bahasa, dan kemungkinan tautannya ke geng ransomware lainnya.
