Setelah BadRabbit, Ransomware MBR-ONI Serang Jepang

MBR-ONI merupakan bootkit ransomware baru yang memodifikasi MBR (master boot record) dan mengenkripsi partisi disk. Nama ONI sendiri diambil dari ekstensi file yang dienkripsi ransomware yaitu .oni dimana di dalam bahasa Jepang berarti "setan".

Sebelum MBR-ONI, ransomware yang mengancam di Jepang adalah ONI. Dapat disimpulkan jika pembuat kedua ransomware ini adalah sama karena alamat email yang dipakai juga sama.

Ransomware ONI melakukan aksi yang spesial yaitu menghapus event logs pada Windows untuk menghapus jejak suatu operasi hacking, dimana penghapusan log ini berlangsung selama tiga hingga sembilan bulan barulah diakhiri dengan pengenkripsian data.

Sumber:pixabay.com

Ada kesamaan ONI dengan ransomware lain yaitu GlobeImposter yang terdapat jejak bahasa Rusia. Jadi, muncul dugaan jika ransomware yang menyerang Jepang ini dibuat oleh orang Rusia.

MBR-ONI diduga menggunakan utiliti open source DiskCryptor yang juga sama digunakan oleh BadRabbit. Ransomware disebar melalui trojan Ammyy Admin RAT yang sebelumnya telah menginfeksi komputer melalui dokumen Office dari spam. Penyebaran MBR-ONI relatif cepat karena menggunakan exploit EternalBlue buatan NSA.

Apabila ONI didesain untuk mengincar komputer malalui jaringan namun MBR-ONI lebih mengincar server seperti Active Directory. Penyebarannnya pun dapat melalui Domain Controller untuk menjalankan ransomware dengan leluasa di komputer lain yang terhubung dengan AD.

Tidak tertutup kemungkinan ONI dan MB-ONI atau sejenisnya dapat beredar secara global termasuk di Indonesia karena adanya misi khusus atau bahkan dengan sedikit memodifikasi kode open source maka utiliti disk encryption dapat berubah menjadi ransomware.