Awas, ada Kimcilware di situs belanja online

by

EKONOMIPOS.COM (EPC), JAKARTA – Program jahat ransomware makin marak. Yang terbaru, sebuah ransomware bernama Kimcilware ditemukan di Indonesia.

Ransomware adalah nama atau istilah generik untuk semua program atau file berbahaya alias malicious software (malware) yang, sesuai dengan namanya, meminta uang tebusan kepada pengguna komputer. Dari penggunaan namanya, Kimcilware diduga berasal dari Indonesia. Indikasi lain yang menguatkan dugaan ransomware ini buatan lokal terlihat dari alamat email pelaku yang tercantum dalam ransom note yang menggunakan nama tuyuljahat.

Kimcilware yang baru saja ditemukan khusus mengincar situs-situs yang menggunakan Magento eCommerce. Dengan kata lain, Technical Consultant PT Prosperita–ESET Indonesia Yudhi Kukuh, mengatakan, Kimcil menargetkan sasarannya pada situs-situs belanja online atau sejenisnya yang terkenal. Apalagi, belakangan ini situs seperti ini memang sedang marak di Indonesia.

Menurut Yudhi, situs web para korban yang terinfeksi akan dienkrip menggunakan Rijndael 256. Seperti biasa, pelaku kemudian akan meminta sejumlah uang tebusan dengan jumlah tergantung dari varian yang menginfeksi mereka.

Dalam rekam jejak sejarah ransomware, Kimcilware adalah varian yang berasal dari Hidden Tear, sebuah ransomware yang sudah lama diabaikan karena memiliki masalah pada koneksi ke server Command & Control namun dibagikan secara gratis untuk keperluan edukasi.

Pengembang malware ini tampaknya berhasil mendapatkan source Hidden Tear dan sudah memperbaiki kelemahan tersebut sehingga mampu membuat varian baru dengan nama Kimcilware. Setiap server yang terjangkit Kimcil akan mendapat sebuah ransom note yang berisi alamat email yaitu tuyuljahat@hotmail.com.

Situs dengan platform Magento adalah sasaran Kimcil. Disinyalir pelaku juga sudah meretas server yang menggunakan Magento setidaknya selama satu bulan terakhir. Pelaku sudah mencuri data dan mengembangkan kemampuannya dengan malware ini.

Ketika mulai menyerang situs, mereka menggunakan setidaknya dua script berbeda untuk melakukan enkripsi. Malware ini akan mengenkripsi semua data pada situs web dan menambahkan ekstensi sesuai variannya.

Hingga saat ini, setidaknya ada dua varian Kimcilware. Varian pertama menghasilkan file .kimcilware ke semua file yang dienkripsi, memasukkan file index.html yang menampilkan ransom note, dan meminta uang tebusan sebesar US$ 140.

Sedangkan varian kedua menghasilkan file .locked ke semua file yang dienkripsi dan file README_FOR_UNLOCK.txt dalam setiap folder yang berisi instruksi tebusan. file index.html yang menampilkan ransom note. Varian kedua ini meminta uang tebusan sebesar 1 bitcoin atau saat ini setara dengan US$ 415.

Menurut Yudhi, server Command & Control Kimcilware saat ini sudah diketahui dan dimatikan. Namun, bukan berarti peredarannya berhenti. Sebagian kode Kincimware dibuat menggunakan PHP, bahasa pemrograman berbasis web yang sangat populer di Indonesia.

Kesuksesan Kimcilware mendapatkan perhatian di dunia keamanan teknologi informasi dan biasanya akan diikuti oleh banyak penerusnya. Terlebih, dengan beredarnya Hidden Tear yang dapat  dimodifikasi membuat setengah pekerjaan para pembuat malware sudah selesai dan dilanjutkan dengan kreativitas dan modifikasi target sesuai tujuan.

Yudhi menambahkan, gelombang malware dengan tujuan ekonomi atau mendapatkan keuntungan finansial semakin nyata dan tidak lagi hanya sekedar mencari popularitas. Keamanan data di Indonesia sudah memasuki fase ini.” Edukasi publik dan pemilihan software antivirus yang mumpuni menjadi sangat penting,” pungkasnya. (kci)