Monday, 29 September 2025

Theft Ransomware: Varian Baru Dharma dengan Ancaman Double Extortion

Di dunia keamanan siber, muncul kembali ancaman ransomware yang patut diwaspadai. Para peneliti menemukan varian terbaru dari keluarga Dharma ransomware, yang kini dikenal dengan nama Theft Ransomware.

Ransomware ini dirancang untuk mengenkripsi file lokal maupun file yang dibagikan di jaringan (network-shared files), sambil tetap menjaga agar sistem inti (critical system components) tidak terganggu sehingga perangkat tetap bisa beroperasi.

create a professional image for a blogspot post about Theft Ransomware 

 🔐 Bagaimana Theft Ransomware Bekerja?

Setelah dieksekusi, Theft akan langsung mulai mengenkripsi file dan menambahkan:

  • Unique victim ID 
  • Alamat email attacker
  • Ekstensi .theft

Keunikan lainnya, ransomware ini secara otomatis menghentikan active processes yang berhubungan dengan file terbuka, misalnya database atau dokumen di aplikasi editor. Tujuannya agar proses enkripsi tidak terganggu.

Agar bisa bertahan (persistence) di perangkat korban, Theft melakukan langkah-langkah berikut:

  • Menyalin dirinya ke folder %LOCALAPPDATA%
  • Menambahkan Run registry keys agar berjalan otomatis saat startup
  • Menghapus Volume Shadow Copies untuk menonaktifkan opsi pemulihan bawaan Windows
  • Mengumpulkan data geolokasi yang dapat memengaruhi target serangan, misalnya menyesuaikan dengan wilayah tertentu

 💀 Ransom Note & Strategi Pemerasan

Setelah proses enkripsi selesai, korban akan menerima dua bentuk ransom note:

  1. Pop-up message dengan instruksi detail

  2. File teks bernama info.txt yang ditempatkan di setiap folder terinfeksi

Isi ransom note biasanya menawarkan dekripsi hingga 3 file kecil (<3 MB, non-kritis) sebagai “bukti” bahwa attacker benar-benar bisa mengembalikan data. Namun, mereka juga memberi peringatan keras agar korban tidak mengganti nama file terenkripsi atau menggunakan third-party tools, karena dapat membuat file rusak permanen.

Lebih serius lagi, Theft menerapkan metode double extortion. Attacker mengklaim telah melakukan data exfiltration dan mengancam akan membocorkan data bisnis sensitif jika tebusan tidak dibayar. Korban diarahkan untuk menghubungi pelaku lewat email, dengan ancaman tambahan bahwa melibatkan pihak ketiga justru bisa meningkatkan biaya atau membuat korban terjebak scam lain.

✅ Rekomendasi Strategis untuk Perlindungan

  • Untuk melindungi sistem dari serangan Theft maupun ransomware lainnya, berikut langkah yang direkomendasikan:Terapkan security protocols yang mumpuni, termasuk enkripsi, autentikasi kuat, serta konfigurasi akses kredensial yang ketat, baik di lingkungan cloud maupun lokal.
  • Pastikan memiliki backup data kritis yang aman, terpisah, dan dapat diandalkan untuk pemulihan tanpa harus membayar tebusan.

🔎 Kesimpulan

Theft Ransomware adalah evolusi berbahaya dari keluarga Dharma yang tidak hanya mengenkripsi file, tetapi juga memanfaatkan pemerasan ganda (double extortion) dengan ancaman kebocoran data.

Langkah terbaik menghadapi serangan ini adalah membangun ketahanan siber sejak dini, melalui kontrol akses, sistem backup yang solid, serta kesadaran akan ancaman yang terus berkembang.

 

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)