Pada tahun 2024 terjadi banyak serangan siber tingkat tinggi, dengan perusahaan sebesar Dell dan TicketMaster menjadi korban pelanggaran data dan gangguan infrastruktur lainnya. Pada tahun 2025, tren ini akan terus berlanjut. Jadi, untuk bersiap menghadapi segala jenis serangan malware, setiap organisasi perlu mengetahui musuh sibernya terlebih dahulu. Berikut adalah 5 keluarga malware umum yang dapat Anda persiapkan untuk melawannya sekarang juga.
Luma
Lumma adalah malware yang banyak tersedia dan dirancang untuk mencuri informasi sensitif. Ini telah dijual secara terbuka di Web Gelap sejak tahun 2022. Malware ini dapat secara efektif mengumpulkan dan mengekstrak data dari aplikasi yang ditargetkan, termasuk kredensial login, informasi keuangan, dan detail pribadi.
Lumma diperbarui secara berkala untuk meningkatkan kemampuannya. Itu dapat mencatat informasi rinci dari sistem yang disusupi, seperti riwayat penelusuran dan data dompet mata uang kripto. Ini dapat digunakan untuk menginstal perangkat lunak berbahaya lainnya pada perangkat yang terinfeksi. Pada tahun 2024, Lumma didistribusikan melalui berbagai metode, termasuk halaman CAPTCHA palsu, torrent, dan email phishing yang ditargetkan.
Analisis Serangan Lumma
Analisis proaktif terhadap file dan URL mencurigakan dalam lingkungan sandbox dapat secara efektif membantu Anda mencegah infeksi Lumma.
Mari kita lihat bagaimana Anda dapat melakukannya menggunakan sandbox berbasis cloud ANY.RUN. Ini tidak hanya memberikan keputusan pasti mengenai malware dan phishing serta indikator yang dapat ditindaklanjuti, tetapi juga memungkinkan interaksi real-time dengan ancaman dan sistem.
Lihatlah analisis serangan Lumma ini.
 |
| ANY.RUN memungkinkan Anda membuka file secara manual dan meluncurkan file yang dapat dieksekusi |
Itu dimulai dengan arsip yang berisi file yang dapat dieksekusi. Setelah kami meluncurkan file .exe, kotak pasir secara otomatis mencatat semua proses dan aktivitas jaringan, menunjukkan tindakan Lumma.
 |
| Suricata IDS memberi tahu kami tentang koneksi jahat ke server C2 Lumma |
Ia terhubung ke server perintah dan kontrol (C2).
 |
| Proses berbahaya yang bertanggung jawab mencuri data dari sistem |
Selanjutnya, ia mulai mengumpulkan dan mengekstraksi data dari mesin.
 |
| Anda dapat menggunakan IOC yang diekstraksi oleh sandbox untuk meningkatkan sistem deteksi Anda |
Setelah menyelesaikan analisis, kami dapat mengekspor laporan pada sampel ini, yang menampilkan semua indikator penting kompromi (IOC) dan TTP yang dapat digunakan untuk memperkaya pertahanan terhadap kemungkinan serangan Lumma di organisasi Anda.
Coba semua fitur Kotak Pasir Interaktif ANY.RUN secara gratis dengan uji coba 14 hari
X Cacing
XWorm adalah program jahat yang memberikan penjahat dunia maya kendali jarak jauh atas komputer yang terinfeksi. Pertama kali muncul pada Juli 2022, ia dapat mengumpulkan berbagai informasi sensitif, termasuk detail keuangan, riwayat penelusuran, kata sandi yang disimpan, dan data dompet mata uang kripto.
XWorm memungkinkan penyerang memantau aktivitas korban dengan melacak penekanan tombol, menangkap gambar webcam, mendengarkan input audio, memindai koneksi jaringan, dan melihat jendela yang terbuka. Ia juga dapat mengakses dan memanipulasi clipboard komputer, yang berpotensi mencuri kredensial dompet mata uang kripto.
Pada tahun 2024, XWorm terlibat dalam banyak serangan berskala besar, termasuk serangan yang mengeksploitasi terowongan CloudFlare dan sertifikat digital yang sah.
Analisis Serangan XWorm
 |
| Email phishing sering kali merupakan tahap awal serangan XWorm |
Dalam serangan ini, kita dapat melihat email phishing asli, yang dilengkapi tautan ke Google drive.
 |
| Halaman Google Drive dengan link download ke arsip berbahaya |
Setelah kami mengikuti tautannya, kami ditawari untuk mengunduh arsip yang dilindungi kata sandi.
 |
| Membuka arsip berbahaya dengan file .vbs |
Kata sandi dapat ditemukan di email. Setelah memasukkannya, kita dapat mengakses skrip .vbs di dalam file .zip.
 |
| XWorm menggunakan MSBuild.exe untuk bertahan di sistem |
Segera setelah kami meluncurkan skrip, kotak pasir langsung mendeteksi aktivitas jahat, yang pada akhirnya mengarah pada penerapan XWorm pada mesin.
AsyncRAT
AsyncRAT adalah trojan akses jarak jauh lainnya dalam daftar. Pertama kali terlihat pada tahun 2019, virus ini awalnya disebarkan melalui email spam, dan sering kali memanfaatkan pandemi COVID-19 sebagai umpan. Sejak itu, malware ini semakin populer dan digunakan dalam berbagai serangan dunia maya.
AsyncRAT telah berevolusi dari waktu ke waktu untuk menyertakan berbagai kemampuan berbahaya. Ia dapat secara diam-diam merekam aktivitas layar korban, mencatat penekanan tombol, menginstal malware tambahan, mencuri file, mempertahankan kehadiran secara persisten pada sistem yang terinfeksi, menonaktifkan perangkat lunak keamanan, dan meluncurkan serangan yang membanjiri situs web yang ditargetkan.
Pada tahun 2024, AsyncRAT tetap menjadi ancaman yang signifikan, sering kali menyamar sebagai perangkat lunak bajakan. Itu juga merupakan salah satu keluarga malware pertama yang didistribusikan sebagai bagian dari serangan kompleks yang melibatkan skrip yang dihasilkan oleh AI.
Analisis Serangan AsyncRAT
 |
| Arsip awal dengan file .exe |
Dalam sesi analisis ini, kita dapat melihat arsip lain dengan file executable berbahaya di dalamnya.
 |
| Proses PowerShell yang digunakan untuk mengunduh payload |
Peledakan file memulai rantai eksekusi XWorm, yang melibatkan penggunaan skrip PowerShell untuk mengambil file tambahan yang diperlukan untuk memfasilitasi infeksi.
Setelah analisis selesai, kotak pasir menampilkan keputusan akhir pada sampel.
Remcos
Remcos adalah malware yang dipasarkan oleh pembuatnya sebagai alat akses jarak jauh yang sah. Sejak diluncurkan pada tahun 2019, ini telah digunakan dalam berbagai serangan untuk melakukan berbagai aktivitas jahat, termasuk mencuri informasi sensitif, mengendalikan sistem dari jarak jauh, merekam penekanan tombol, menangkap aktivitas layar, dll.
Pada tahun 2024, kampanye untuk mendistribusikan Remcos menggunakan teknik seperti serangan berbasis skrip, yang sering kali dimulai dengan VBScript yang meluncurkan skrip PowerShell untuk menyebarkan malware, dan mengeksploitasi kerentanan seperti CVE-2017-11882 dengan memanfaatkan file XML berbahaya.
Analisis Serangan Remcos
 |
| Email phishing dibuka di Kotak Pasir Interaktif ANY.RUN |
Dalam contoh ini, kita bertemu dengan email phishing lain yang dilengkapi lampiran .zip dan kata sandinya.
 |
| proses cmd yang digunakan selama rantai infeksi |
Muatan terakhir memanfaatkan proses sistem Command Prompt dan Windows untuk memuat dan menjalankan Remcos.
 |
| Matriks MITRE ATT&CK memberikan gambaran komprehensif tentang teknik malware |
Sandbox ANY.RUN memetakan seluruh rantai serangan ke matriks MITRE ATT&CK untuk kenyamanan.
KunciBit
LockBit adalah ransomware yang terutama menargetkan perangkat Windows. Ini dianggap sebagai salah satu ancaman ransomware terbesar, yang mencakup sebagian besar serangan Ransomware-as-a-Service (RaaS). Sifat kelompok LockBit yang terdesentralisasi telah memungkinkannya untuk berkompromi dengan banyak organisasi terkenal di seluruh dunia, termasuk Royal Mail di Inggris dan National Aerospace Laboratories di India (pada tahun 2024).
Lembaga penegak hukum telah mengambil langkah-langkah untuk memerangi kelompok LockBit, yang menyebabkan penangkapan beberapa pengembang dan mitra. Terlepas dari upaya ini, grup tersebut terus beroperasi, dengan rencana untuk merilis versi baru, LockBit 4.0, pada tahun 2025.
Analisis Serangan LockBit
 |
| LockBit ransomware diluncurkan di lingkungan aman kotak pasir ANY.RUN |
Lihat sesi sandbox ini, yang menunjukkan seberapa cepat LockBit menginfeksi dan mengenkripsi file di sistem.
 |
| Kotak Pasir Interaktif ANY.RUN memungkinkan Anda melihat analisis statis dari setiap file yang dimodifikasi pada sistem |
Dengan melacak perubahan sistem file, kita dapat melihatnya memodifikasi 300 file dalam waktu kurang dari satu menit.
 |
| Catatan tebusan memberitahu korban untuk menghubungi penyerang |
Malware juga memberikan catatan tebusan, merinci instruksi untuk mendapatkan kembali data.
Tingkatkan Keamanan Proaktif Anda dengan Kotak Pasir Interaktif ANY.RUN
Menganalisis ancaman dunia maya secara proaktif alih-alih bereaksi ketika ancaman tersebut menjadi masalah bagi organisasi Anda adalah tindakan terbaik yang dapat diambil oleh bisnis mana pun. Sederhanakan dengan kotak pasir Interaktif ANY.RUN dengan memeriksa semua file dan URL mencurigakan di dalam lingkungan virtual aman yang membantu Anda mengidentifikasi konten berbahaya dengan mudah.
Dengan sandbox ANY.RUN, perusahaan Anda dapat:
- Deteksi dan konfirmasi file dan tautan berbahaya dengan cepat selama pemeriksaan terjadwal.
- Selidiki bagaimana malware beroperasi pada tingkat yang lebih dalam untuk mengungkap taktik dan strateginya.
- Tanggapi insiden keamanan secara lebih efektif dengan mengumpulkan wawasan ancaman penting melalui analisis sandbox.
Coba semua fitur ANY.RUN dengan uji coba gratis 14 hari.
