Security

Ransomware Spirals Mampu Lumpuhkan Jaringan Korban dalam Waktu Kurang dari 24 Jam

Kelompok ransomware baru bernama Spirals terdeteksi mampu menjalankan serangan siber secara cepat, mulai dari mendapatkan akses awal, mencuri data, hingga mengenkripsi sistem korban hanya dalam waktu kurang dari 24 jam.

Serangan tersebut terjadi pada Juni 2026 dan menargetkan sebuah perusahaan layanan teknologi informasi di Asia Selatan. Penyerang memperoleh akses awal setelah berhasil menyusup ke server Internet Information Services (IIS) yang dapat diakses langsung dari internet.

Berdasarkan investigasi tim Threat Hunter Symantec, pelaku segera mengunggah ASP.NET web shell setelah mendapatkan akses ke server korban. Dari titik tersebut, serangan berkembang dengan sangat cepat ke berbagai sistem lain di dalam jaringan perusahaan.

Penyerang Membuat Akses Persisten

Setelah berhasil masuk ke server, operator Spirals melakukan sejumlah langkah untuk mempertahankan akses ke lingkungan korban.

Penyerang diketahui melakukan bypass terhadap User Account Control (UAC), mengaktifkan layanan Remote Desktop, serta membuat akun lokal baru yang dapat digunakan untuk mempertahankan akses.

Selain itu, pelaku mencoba mendapatkan kredensial dengan mengambil data dari SAM registry hive dan memori proses LSASS.

Informasi kredensial yang berhasil diperoleh berpotensi digunakan untuk memperluas akses ke sistem lain dalam jaringan.

Bergerak ke Lebih dari Selusin Sistem

Operator Spirals kemudian mencoba menghapus atau menonaktifkan perangkat lunak keamanan yang berjalan pada sistem korban.

Untuk melakukan pergerakan lateral, penyerang memanfaatkan Windows Management Instrumentation (WMI) dan berhasil menjangkau lebih dari selusin sistem dalam jaringan.

Pelaku juga membangun beberapa jalur akses jarak jauh sebagai cadangan menggunakan sejumlah tool, termasuk revsocks, Chisel, dan Cloudflare Tunnel.

Penggunaan beberapa kanal akses sekaligus memungkinkan penyerang mempertahankan koneksi ke jaringan korban meskipun salah satu jalur komunikasi berhasil diblokir oleh administrator.

Microsoft Defender dan Layanan Backup Dinonaktifkan

Sebelum memulai proses enkripsi, penyerang menggunakan payload PowerShell untuk melemahkan sistem pertahanan korban.

Script tersebut digunakan untuk menonaktifkan Microsoft Defender, menghapus definisi ancaman, serta menghentikan berbagai layanan yang berkaitan dengan backup, database, dan virtualisasi.

Setidaknya terdapat 23 produk atau layanan yang menjadi sasaran, termasuk solusi yang berkaitan dengan Veeam, VMware, Hyper-V, Microsoft SQL Server, Oracle, dan PostgreSQL.

Langkah ini kemungkinan dilakukan untuk mempersulit proses pemulihan data setelah ransomware mulai mengenkripsi sistem.

Ransomware Disebarkan Menggunakan PsExec

Kurang dari 24 jam setelah akses awal berhasil diperoleh, operator mulai menyebarkan payload ransomware Spirals ke jaringan korban.

Payload tersebut diberi nama bitsadmin.exe, kemungkinan untuk menyamarkannya sebagai utilitas Windows yang sah dan berkaitan dengan Background Intelligent Transfer Service.

Ransomware kemudian disebarkan menggunakan PsExec dengan hak akses SYSTEM untuk mengenkripsi file pada mesin yang berhasil dikompromikan.

Kecepatan serangan ini menunjukkan semakin sempitnya waktu yang dimiliki organisasi untuk mendeteksi dan menghentikan aktivitas penyerang sebelum ransomware mencapai tahap enkripsi.

Menggunakan Enkripsi Berbasis Rust

Spirals merupakan ransomware yang dikembangkan menggunakan bahasa pemrograman Rust.

Malware ini menggunakan kunci AES-128 untuk proses enkripsi data. Kunci tersebut kemudian dilindungi menggunakan public key ECDH P-256 yang dikendalikan oleh penyerang.

Untuk mempercepat proses serangan, Spirals menggunakan teknik intermittent encryption pada file berukuran lebih dari 5 MB. Teknik ini hanya mengenkripsi bagian tertentu dari file sehingga proses dapat berlangsung lebih cepat, tetapi tetap membuat data korban tidak dapat digunakan secara normal.

Setelah proses enkripsi selesai, ransomware membuat ransom note bernama RECOVERY_SECTION.log di drive C:\ yang berisi instruksi bagi korban untuk melakukan negosiasi dengan penyerang.

Korban Diberi Waktu Enam Hari

Selain mengenkripsi sistem, operator Spirals juga melakukan pencurian data sebelum menjalankan ransomware.

Korban kemudian diancam bahwa data yang telah dicuri akan dipublikasikan dalam waktu enam hari apabila tuntutan pembayaran tidak dipenuhi.

Strategi ini mengikuti pola double extortion yang umum digunakan kelompok ransomware modern. Penyerang tidak hanya mengandalkan enkripsi untuk menekan korban, tetapi juga menggunakan ancaman kebocoran data sebagai alat tambahan dalam proses pemerasan.

Meski telah memiliki portal khusus untuk melakukan pemerasan terhadap korban, Symantec sejauh ini baru menemukan Spirals dalam satu insiden.

Belum diketahui apakah ransomware tersebut akan digunakan dalam operasi serangan yang lebih luas atau merupakan payload khusus yang dikembangkan untuk menargetkan perusahaan layanan TI yang menjadi korban dalam insiden tersebut.

Symantec telah mempublikasikan sejumlah indikator jaringan dan hash file yang berkaitan dengan serangan Spirals untuk membantu organisasi mendeteksi serta membangun perlindungan terhadap aktivitas serupa.

Sumber: Symantec

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button