Berkenalan dengan Trojan yang Lebih Trojan dari Trojan

Gambar 1, Serangan malware Indonesia paruh pertama 2020.


Paruh pertama 2020, serangan malware di Indonesia didominasi gerombolan si berat. Di antaranya ada trojan yang lebih trojan dari trojan. Maksudnya?

Gerombolan pertama 176-167 adalah gerombolan malware zaman now terdiri dari trojan, ransomware dan miner (46,11%).

Gerombolan kedua 176-671 adalah penguasa lama yang dapat digolongkan sebagai malware zaman old terdiri dari worm dan malware (36,52%).

Dan terakhir, gerombolan ketiga 176-761 yang patut di waspadai adalah gerombolan millenial terdiri dari PUA, adware dan scareware (17,37%). (Lihat gambar 1)

Statistik data serangan ini dikumpulkan secara anonim dari semua pelanggan Vaksincom yang tersebar di seluruh Indonesia dan bersedia berpartisipasi.

 

Gambar 2, Statistik Antivirus dapat dikumpulkan secara realtime melalui konsol antivirus dengan teknologi cloud.



Data statistik ini secara internal juga dapat dikumpulkan oleh pengguna antivirus korporat secara mandiri dan otomatis.

Data ini dapat membantu mengidentifikasi dan analisis secara realtime informasi ancaman sekuriti lengkap dengan nama malware, ukuran malware, nama file, IP komputer yang terinfeksi, waktu terinfeksi, OS apa yang digunakan dan informasi lainnya yang dibutuhkan oleh administrator jaringan.

Dengan demikian administrator dapat mengetahui kondisi jaringan yang diproteksinya dan kebijakan atau tindakan apa yang harus dilakukan untuk proteksi jaringan yang dilindunginya. (Lihat gambar 2)


Trojan, Ransomware dan Miner


Trojan, ransomware dan miner dimasukkan ke dalam satu kelompok karena hubungan yang sangat erat antara ketiganya.

Mayoritas serangan ransomware dan miner menggunakan Trojan sebagai sarana untuk mendapatkan korbannya.

Gambar 3, Trojan generic dan BT (Backdoor Trojan) menunjukkan keterkaitan yang tinggi dengan ransomware.


Trojan sebenarnya tidak hanya digunakan untuk menyebarkan ransomware dan miner, seringkali trojan juga dimanfaatkan untuk menyebarkan malware kategori lain seperti agent yang termasuk dalam kategori adware atau keylogger yang menjalankan aksinya mencuri kredensial penting dari sistem yang di infeksinya.

Namun tingginya trojan generic (80,26%) dan Gen.BT alias Backdoor Trojan (2,45 %) menunjukkan keterkaitan yang sangat erat antara ransomware dengan trojan. (Lihat gambar 3)

Apa dasarnya mengatakan kalau trojan generic memiliki keterkaitan tinggi dengan ransomware? Dalam kasus nyata, sebenarnya sangat sulit mendapatkan ransomware yang sedang menjalankan aksinya, kecuali ransomware merupakan worm lawas seperti Wannacry dan variannya yang sebenarnya digunakan untuk cyberwar oleh Rusia dan bukan ransomware sejati.

Hal ini disebabkan ransomware yang sifatnya 'lebih trojan dari trojan'.

Apa maksudnya lebih trojan dari trojan? Seperti kita ketahui, penamaan trojan berasal dari cerita kuda troya dimana ia datang dalam keadaan seolah-olah tidak berbahaya dan secara sukarela dijalankan oleh korbannya.

Hal ini diperlukan karena apa yang dilakukan trojan merugikan korbannya seperti menjalankan program jahat guna mencuri password atau diam-diam menggunakan sumberdaya komputer (prosesor atau kartu grafis) untuk menambang bitcoin atau mata uang kripto.

Jadi kalau aksinya trojan tertangkap dan ketahuan, artinya trojan itu kurang sukses dan tentunya akan langsung dicekal dan dibasmi seperti trojan yang ditangkap oleh Webroot dalam statistik antivirus ini.

Risiko trojan tertangkap sangat tinggi karena aksinya memonitor password dan menambang Bitcoin membutuhkan proses yang berjalan secara terus menerus di komputer korban mudah terdeteksi.

Keuntungan yang didapatkan dari keylogger dan miner juga relatif rendah dan sifatnya jangka panjang.

Beda kasusnya jika trojan berhasil menginstalkan ransomware, ia tidak perlu menjalankan proses terus menerus seperti miner maupun keylogger.

Ia hanya perlu satu kali sukses menginfeksikan malware (ransomware) yang tidak terdeteksi oleh program antivirus.

Jika berhasil menginfeksi sistem dan menjalankan aksinya, maka ia akan bisa langsung 'cashout' memanen hasil kerjanya dengan meminta uang tebusan kepada korban yang datanya berhasil dienkripsi.

Untuk menjamin keberhasilan ransomware dengan menumpang trojan yang sudah bersusah payah menginfeksi sistem lalu tertangkap hanya karena menginjeksi dengan ransomware yang mudah terdeteksi antivirus, sama saja membuang peluang yang sudah ada di depan mata.

Maka, pembuat ransomware dalam menjalankan aksinya akan berusaha semaksimal mungkin menggunakan varian ransomware baru atau yang belum pernah terdeteksi oleh program antivirus.

Jika ransomware berhasil menjalankan aksinya mengenkripsi data, maka ransomware ini akan otomatis menghancurkan dirinya dan tidak dapat ditemukan jejaknya, kecuali data yang sudah dienkripsi dan pesan ransomware yang memang sengaja ditinggalkan oleh ransomware.

Hal ini dilakukan supaya ransomware yang sama dapat digunakan lagi untuk aksi ransomware di komputer lain. Karena itulah ransomware dapat dikatakan sebagai malware yang lebih trojan dari trojan.

Lalu, bagaimana melindungi diri dari malware seperti ini? Selain menjalankan backup dengan baik dan terlindung dari akses ransomware, Anda dapat mempertimbangkan solusi preventif melindungi sistem komputer dengan Vansom Protect yang dapat mengembalikan data hanya dengan beberapa kali klik sekalipun data Anda berhasil dienkripsi ransomware.

Selain gerombolan ransomware, malware yang banyak dihentikan oleh webroot adalah kelompok worm lawas : ramnit, sality dan mogoogwi dan malware seperti malware.mlpe, suspisious heuristic dan malware.generic.

Tabel 1, Insiden malware Indonesia paruh pertama 2020.


Sedangkan kelompok kedua yang dapat dikategorikan sebagai malware millenial adalah PUA Potentially Unwanted Application, Adware dan Scareware.

Adapun insiden malware paruh pertama 2020 dapat dilihat pada tabel 1 :