Security

Ransomware LeakNet Gunakan ClickFix dan Deno untuk Serangan Lebih Tersembunyi

2 weeks ago
2 minutes read

Kelompok ransomware LeakNet kini mengadopsi teknik baru yang lebih canggih untuk menyusup ke jaringan perusahaan. Dalam serangan terbarunya, pelaku memanfaatkan metode social engineering ClickFix serta runtime Deno untuk menjalankan malware secara tersembunyi.

Pendekatan ini dinilai berbahaya karena mampu mengurangi jejak digital di sistem korban, sehingga lebih sulit dideteksi oleh solusi keamanan tradisional.

ClickFix Jadi Pintu Masuk Serangan

LeakNet menggunakan teknik ClickFix sebagai tahap awal infiltrasi. Metode ini memanfaatkan rekayasa sosial dengan menampilkan prompt palsu yang mendorong korban menjalankan perintah berbahaya di perangkat mereka.

Teknik ini bukan hal baru dan telah digunakan oleh berbagai kelompok ransomware lain. Namun, LeakNet mengombinasikannya dengan pendekatan yang lebih canggih untuk tahap berikutnya.

Deno Dimanfaatkan untuk Jalankan Malware

Setelah korban terjebak, serangan berlanjut dengan penggunaan Deno, sebuah runtime open-source untuk JavaScript dan TypeScript. Alih-alih menggunakan malware loader khusus, pelaku justru memanfaatkan aplikasi sah ini untuk menjalankan kode berbahaya.

Pendekatan ini dikenal sebagai “bring your own runtime” (BYOR), di mana penyerang menggunakan perangkat lunak legal untuk menyamarkan aktivitas berbahaya.

Dengan menggunakan Deno, payload dieksekusi langsung di memori sistem tanpa menyimpan file berbahaya di disk. Hal ini membuat jejak forensik sangat minim dan menurunkan kemungkinan deteksi.

Teknik Eksekusi yang Sulit Dideteksi

Dalam praktiknya, proses serangan dijalankan melalui skrip Visual Basic (VBS) dan PowerShell yang disamarkan dengan nama file seperti Romeo dan Juliet.

Aktivitas ini tampak seperti pekerjaan pengembang biasa, sehingga sulit dibedakan dari aktivitas normal di sistem.

Setelah berhasil dijalankan, kode akan:

  • Mengidentifikasi perangkat korban
  • Membuat ID unik untuk setiap target
  • Terhubung ke server command-and-control (C2)
  • Mengunduh payload tahap lanjutan
  • Menjalankan komunikasi berkelanjutan untuk menerima perintah baru

Tahap Lanjutan: Eksfiltrasi dan Pergerakan Lateral

Pada fase lanjutan, LeakNet menjalankan berbagai teknik pasca-eksploitasi. Ini termasuk DLL sideloading melalui Java, pengumpulan kredensial menggunakan perintah sistem, serta pergerakan lateral di jaringan menggunakan alat seperti PsExec.

Selain itu, pelaku juga memanfaatkan layanan cloud seperti Amazon S3 untuk menyimpan dan mengekstrak data korban.

Indikator Aktivitas Mencurigakan

Para peneliti keamanan menyoroti bahwa pola serangan LeakNet cukup konsisten, sehingga masih dapat dideteksi jika organisasi memiliki visibilitas yang baik.

Beberapa indikator yang perlu diwaspadai antara lain:

  • Eksekusi Deno di luar lingkungan pengembangan
  • Aktivitas mencurigakan dari browser yang menjalankan perintah sistem
  • Penggunaan PsExec yang tidak biasa
  • Lalu lintas jaringan tidak wajar menuju layanan cloud seperti S3
  • DLL sideloading di direktori yang tidak umum

Ancaman yang Terus Berkembang

LeakNet sendiri merupakan kelompok ransomware yang relatif baru dan mulai aktif sejak akhir 2024. Saat ini, mereka rata-rata menargetkan sekitar tiga korban setiap bulan.

Namun, dengan adopsi teknik baru yang lebih canggih dan sulit dideteksi, potensi skala serangan ke depan diperkirakan akan meningkat.

Organisasi disarankan untuk meningkatkan kewaspadaan, memperkuat monitoring aktivitas sistem, serta membatasi eksekusi runtime yang tidak diperlukan guna mengurangi risiko serangan serupa.

Tags
2 weeks ago
2 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button