Saturday, 18 October 2025

Befirst: Varian Ransomware Baru Turunan MedusaLocker dengan Kapabilitas Double-Extortion

Peneliti keamanan menemukan kemunculan strain ransomware baru bernama Befirst. Mirip dengan keluarga MedusaLocker, Befirst mengenkripsi file korban dengan skema hybrid RSA+AES lalu mengganti nama file menggunakan ekstensi acak (contoh: .befirst#). Setelah proses enkripsi selesai, pelaku meninggalkan catatan tebusan bernama READ_NOTE.html.

Isi ransom note menyatakan korban telah diretas dan diwajibkan membayar tebusan. Jika tidak, data curian akan dipublikasikan melalui situs Tor. Pelaku melarang korban menghubungi penegak hukum, mengubah file terenkripsi, atau menyebut alasan transaksi saat membeli kripto. Mereka memberi kanal kontak via ProtonMail dan Tor, menawarkan “demo dekripsi” untuk beberapa file tidak-kritis, dan menekan korban dengan tenggat 72 jam.

Karakteristik Befirst

Analisis artefak menunjukkan Befirst membawa set fitur yang jauh lebih matang dibanding MedusaLocker:

  • Hybrid RSA+AES encryption dengan ekstensi acak .befirst#

  • Klaim double-extortion (enkripsi + publikasi data)

  • Antarmuka affiliate lebih rapi dan opsi enkripsi lebih dapat dikustom

  • Anti-analysis via patching EtwEventWrite (ETW) untuk menonaktifkan Windows Event Tracing

  • Locale avoidance — menghindari eksekusi di lingkungan berbahasa Rusia

  • Varian Linux & ESXi yang mampu mengenkripsi VM pada host VMware dalam skala besar

  • Perilaku optimasi — disk space check, persistence (autostart / tweak sistem), dan direct CPU clock access untuk menghindari deteksi berbasis OS

Teknik Ancaman

  • Target utama adalah Windows, OS dominan perusahaan lintas industri

  • Persistence menjamin survivabilitas pasca-infeksi

  • Direct-CPU-clock-access mengaburkan jejak dari solusi EDR/monitoring tradisional

  • Kemampuan mass-encrypt VM di ESXi membuat recovery dan forensik jauh lebih kompleks

Menurut analisis, Befirst adalah iterasi lanjut MedusaLocker dengan penyempurnaan signifikan. Dengan teknik double-extortion, panel affiliate yang matang, dukungan lintas platform, dan potensi triple-extortion ditambah leak-site dedicated, Befirst diprediksi bergerak menuju model Ransomware-as-a-Service (RaaS) berskala global.

Strategi Pencegahan

  • Terapkan hardening pada cloud maupun lingkungan lokal: kontrol akses, autentikasi kuat, segmentasi, dan proteksi enkripsi untuk sistem kritikal

  • Pastikan backup terpisah (offline/immutable) tersedia dan diuji restore-nya agar pemulihan tetap dimungkinkan jika terjadi insiden

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)