ShinySp1d3r: Ransomware-as-a-Service Baru Buatan ShinyHunters Mulai Terungkap

Sebuah versi awal dari platform ransomware-as-a-service (RaaS) baru bernama ShinySp1d3r mulai beredar, memberi gambaran awal tentang operasi pemerasan siber yang sedang dikembangkan oleh kelompok ShinyHunters bersama rekan mereka dari Scattered Spider. Selama ini, kelompok tersebut lebih sering menggunakan enkripsi milik geng ransomware lain seperti ALPHV/BlackCat, Qilin, RansomHub, dan DragonForce. Namun kini mereka bergerak mandiri dengan membangun ekosistem RaaS yang sepenuhnya baru.

Kemunculan ShinySp1d3r pertama kali diketahui melalui sebuah kanal Telegram, di mana pelaku yang menamakan diri Scattered Lapsus$ Hunters terlihat mencoba memeras korban pencurian data dari Salesforce dan Jaguar Land Rover (JLR). Tidak lama setelah itu, sampel enkriptor ShinySp1d3r muncul di VirusTotal, memicu analisis lebih dalam dari para peneliti keamanan.

Enkriptor Baru dengan Beragam Fitur Berbahaya

Berbeda dengan banyak ransomware modern yang menggunakan ulang basis kode dari ransomware yang bocor, ShinySp1d3r dibangun dari nol oleh ShinyHunters. Analisis menunjukkan enkriptor Windows mereka dipenuhi fitur canggih, beberapa mirip dengan ransomware lain dan beberapa cukup unik.

Beberapa kemampuan yang teridentifikasi antara lain:

• Mencegah pencatatan aktivitas melalui pengaitan fungsi EtwEventWrite.
• Menghentikan proses yang mengunci file agar dapat dienkripsi, termasuk rencana implementasi force kill melalui Restart Manager.
• Menimpa ruang kosong pada drive menggunakan data acak untuk mencegah pemulihan file yang dihapus.
• Menghentikan proses dan layanan yang telah diprogram secara spesifik.
• Mekanisme propagasi ke perangkat lain melalui SCM, WMI, dan pembuatan skrip GPO.
• Fitur anti-analisis serta pembersihan buffer memori untuk menghambat forensik.
• Penghapusan Shadow Volume Copies.
• Pemindaian host dengan network share terbuka untuk kemudian mengenkripsinya.

ShinySp1d3r menggunakan algoritma ChaCha20 dengan kunci privat yang dilindungi RSA-2048. Setiap file yang dienkripsi diberi ekstensi unik berdasarkan sebuah pola matematis, sementara struktur file memiliki header khusus bertanda SPDR dan ENDS yang berisi metadata dan kunci terenkripsi.

Catatan Tebusan dan Wallpaper Khusus

Pada setiap folder korban, ShinySp1d3r menempatkan catatan tebusan yang diberi nama R3ADME_1Vks5fYe.txt. Isi catatan tersebut menjelaskan insiden, instruksi negosiasi, serta alamat TOX untuk komunikasi. Catatan itu juga mencantumkan tautan situs kebocoran data di Tor, meski untuk saat ini masih berupa placeholder yang belum aktif. Korban diberi waktu tiga hari untuk memulai negosiasi sebelum serangan diumumkan ke publik.

Selain itu, enkriptor juga memasang wallpaper khusus yang memperingatkan korban tentang insiden dan mengarahkan mereka membaca catatan tebusan.

Versi Lain Sedang Dikembangkan

Meski sejauh ini baru ditemukan versi Windows, ShinyHunters mengklaim telah menyelesaikan build CLI dengan konfigurasi yang dapat dijalankan saat runtime dan sedang menyelesaikan versi Linux serta ESXi. Mereka juga mengumumkan pengembangan lightning version berbasis kode assembly murni yang diklaim lebih cepat dan ringan.

Struktur Operasi dan Target

Operasi RaaS ini akan dijalankan dengan nama Scattered LAPSUS$ Hunters (SLH) sebagai bentuk aliansi antara ShinyHunters, Scattered Spider, dan Lapsus$. Menariknya, pelaku mengklaim mereka melarang serangan terhadap sektor kesehatan—termasuk farmasi, rumah sakit, dan klinik—meski klaim serupa dari geng ransomware lain kerap tidak diikuti secara konsisten. Seperti banyak geng ransomware lain, mereka juga melarang target di Rusia dan negara CIS untuk menghindari risiko hukum bagi afiliasi mereka.

Perkembangan ShinySp1d3r menandai upaya terbaru kelompok kriminal siber dalam memperkuat operasi pemerasan mereka melalui perangkat enkripsi yang semakin kompleks dan adaptif. Dengan platform RaaS yang masih berkembang, ancaman dari kelompok ini diperkirakan akan terus meningkat dalam waktu dekat.