Perkenalkan, dunia cybersecurity yang penuh drama. Bayangkan, lagi asyik kerja, tiba-tiba ada yang menelpon mengaku dari IT support, padahal… ya sudahlah, kita bahas lebih lanjut. Intinya, waspadalah, waspadalah! Jangan sampai data perusahaanmu jadi korban selanjutnya.
Serangan Ransomware 3AM: Modus Lama, Gaya Baru?
Ransomware 3AM, sebuah ancaman cyber yang namanya mungkin belum terlalu familiar di telinga, ternyata sedang gencar-gencarnya melancarkan serangan yang sangat targeted. Mereka menggunakan taktik email bombing dan menyamar sebagai IT support palsu untuk mengelabui karyawan agar memberikan kredensial akses remote ke sistem perusahaan. Kedengarannya klasik, tapi efektifitasnya bikin geleng-geleng kepala.
Taktik ini, yang sebelumnya dikaitkan dengan geng ransomware Black Basta dan kemudian FIN7, sekarang semakin populer di kalangan pelaku kejahatan cyber. Mereka sepertinya belajar dari yang terbaik (atau terburuk, tergantung sudut pandang). Bayangkan saja, template phising IT help desk yang bocor dari Black Basta jadi panduan buat penjahat cyber lainnya. Ironis.
Menurut laporan Sophos, setidaknya ada 55 serangan yang memanfaatkan teknik ini antara November 2024 dan Januari 2025, dan ini terkait dengan dua kelompok ancaman yang berbeda. Artinya, ini bukan insiden tunggal, tapi sebuah tren yang mengkhawatirkan.
Serangan-serangan ini mengikuti pola yang mirip dengan playbook Black Basta, termasuk email bombing, vishing (phishing lewat telepon) via Microsoft Teams, dan penyalahgunaan Quick Assist. Jadi, kalau tiba-tiba dapat banyak email aneh atau ada yang telpon mengaku dari IT support, be careful out there!
Serangan ransomware 3AM yang menimpa klien Sophos pada kuartal pertama tahun 2025 menggunakan pendekatan serupa, namun dengan sentuhan real phone phishing alih-alih Microsoft Teams. Ini menunjukkan bahwa para penjahat cyber ini terus beradaptasi dan mencari cara baru untuk menipu korban mereka.
Jurus Jitu 3AM: Telepon Palsu dan Email Bertubi-tubi
Modusnya begini: pelaku kejahatan cyber memalsukan nomor telepon departemen IT target untuk membuat panggilan tampak sah. Panggilan ini biasanya terjadi bersamaan dengan gelombang email bombing, di mana korban menerima puluhan email yang tidak diminta dalam waktu singkat. Tujuannya? Membuat panik dan mengambil keputusan gegabah.
Dalam kasus yang dilaporkan Sophos, penyerang berhasil meyakinkan seorang karyawan untuk membuka Microsoft Quick Assist dan memberikan akses remote, dengan alasan sedang menanggapi aktivitas mencurigakan. Klasik, tapi banyak yang masih tertipu. Inilah pentingnya kesadaran keamanan cyber bagi setiap karyawan.
Setelah mendapatkan akses, penyerang mengunduh dan mengekstrak arsip berbahaya dari domain palsu. Arsip ini berisi skrip VBS, emulator QEMU, dan image Windows 7 yang sudah diinstal backdoor QDoor. Serius amat? Iya, mereka memang serius.
QEMU: Senjata Rahasia Para Peretas?
QEMU digunakan untuk menghindari deteksi dengan mengarahkan lalu lintas jaringan melalui virtual machine yang dibuat di platform tersebut. Taktik ini memungkinkan akses persisten ke jaringan tanpa terdeteksi. Ini seperti punya terowongan rahasia di bawah benteng pertahananmu.
Melalui cara ini, para penyerang melakukan reconnaissance menggunakan WMIC dan PowerShell, membuat akun admin lokal untuk terhubung melalui RDP, memasang alat RMM komersial XEOXRemote, dan membobol akun administrator domain. Kompleks, kan?
Meskipun produk Sophos berhasil memblokir pergerakan lateral dan upaya penonaktifan pertahanan, penyerang tetap berhasil mengeksfiltrasi 868 GB data ke penyimpanan awan Backblaze menggunakan alat GoodSync. Ini menunjukkan bahwa meskipun ada pertahanan, penyerang yang gigih tetap bisa menemukan celah.
Alat Sophos juga memblokir upaya berikutnya untuk menjalankan encryptor ransomware 3AM, sehingga kerusakan terbatas pada pencurian data dan enkripsi host yang terkompromi. Bayangkan kalau tidak diblokir, bisa berabe!
Serangan ini berlangsung selama 9 hari, dengan pencurian data selesai pada hari ketiga. Untungnya, upaya para penyerang untuk menyebar lebih jauh berhasil diblokir. Jadi, penting untuk mendeteksi dan merespons serangan secepat mungkin.
Cara Ampuh Mencegah Serangan Ransomware 3AM (dan Lainnya)
- Audit akun administrator: Pastikan akun administrator memiliki keamanan yang kuat dan hanya digunakan oleh orang yang benar-benar membutuhkannya. Jangan sampai akun admin jadi sasaran empuk para penjahat cyber.
- Gunakan alat XDR: Alat XDR (Extended Detection and Response) dapat membantu memblokir alat-alat legal yang tidak disetujui seperti QEMU dan GoodSync. Ini seperti punya satpam yang jeli dan bisa membedakan mana tamu yang beneran, mana yang cuma ngaku-ngaku.
- Terapkan kebijakan eksekusi PowerShell yang ditandatangani: Ini memastikan bahwa hanya skrip yang ditandatangani yang dapat dijalankan, sehingga mengurangi risiko eksekusi kode berbahaya.
- Update IOC: Gunakan indicators of compromise (IOC) yang tersedia untuk membuat blocklist yang mencegah intrusi dari sumber berbahaya yang dikenal.
- Tingkatkan kesadaran karyawan: Email bombing dan voice phishing hanya dapat diblokir secara efektif dengan meningkatkan kesadaran karyawan. Latih karyawan untuk mengenali tanda-tanda serangan dan bagaimana meresponsnya.
Intinya, jangan panik kalau dapat email atau telepon aneh. Cek dulu kebenarannya, jangan langsung percaya begitu saja. Ingat, keamanan cyber adalah tanggung jawab kita bersama. Jangan sampai jadi korban selanjutnya!
