Hacker Pakai Ransomware 'Capit Kepiting' GandCrab Bobol Server MySQL

Ilustrasi hacker.
Sumber :
  • U-Report

VIVA – Peretas atau hacker yang diduga berasal dari China memakai algoritma enkripsi khusus (ransomware) GandCrab untuk menjebol server MySQL. Ransomware jenis ini merupakan yang terganas dan banyak memakan korban pada tahun lalu.

GandCrab, atau biasa disebut kepiting raksasa dengan capitnya yang kuat, berhasil memakan korban 500 ribu perangkat dan meraup uang tebusan antara Rp4,5 juta hingga Rp93 juta dari korban yang datanya berhasil dienkripsi.

Menurut Peneliti Utama Sophos, Andrew Brandt, serangan-serangan yang dilakukan GandCrab agak unik karena perusahaan keamanan siber sampai sekarang belum melihat siapa dalang yang berhasil menginfeksi server MySQL yang berjalan pada sistem Windows. Meskipun tuduhan tersebut diarahkan ke China.

"Kami menggambarkannya sebagai 'penemuan kebetulan'," kata dia seperti dikutip dari ZDNET, Senin, 27 Mei 2019. Brandt mengatakan peretas akan memindai database MySQL yang dapat diakses internet yang akan menerima perintah SQL.

Kemudian, memeriksa apakah server tersebut akan berjalan pada Windows, yang selanjutnya menggunakan perintah SQL untuk menanam file pada server yang terbuka lalu menginfeksi komputer korban dengan ransomware GandCrab.

Ransomware GandCrab.

Brandt menuturkan jika mayoritas administrator sistem melindungi server MySQL dengan kata sandi, maka tujuan hacker melakukan pemindaian adalah untuk mengeksploitasi oportunistik dari database yang tidak terkonfigurasi atau tanpa kata sandi.

"Serangan jenis ini sangat jarang. Kelompok peretas biasanya memindai server database untuk menyusup ke sistem IT perusahaan dan mencuri data atau kekayaan intelektual mereka dengan menanam malware crypto-mining," ungkapnya.

Ia dan timnya juga melacak serangan ini kembali ke server jarak jauh atau remote, yang memiliki direktori terbuka menjalankan perangkat lunak atau software server yang disebut HFS.

"Server tampaknya menunjukkan lebih dari 500 sampel file unduhan GandCrab yang kami lihat adalah unduhan honeypot MySQL (3306-1.exe). Tapi, sampel bernama 3306-2.exe, 3306-3.exe, dan 3306-4.exe juga identik dengan file tersebut," tutur Brandt.

Ia mengaku hampir 800 sampel file unduhan ditemukan dalam lima hari. Lalu, ada lebih dari 2.300 sampel file unduhan GandCrab lainnya ditemukan di direktori terbuka hanya kurun waktu satu minggu.

"Jadi, meskipun bukan serangan masif namun tetap menimbulkan risiko serius bagi admin server MySQL yang berhasil melubangi firewall untuk port 3306 pada server database mereka agar dapat ditembus 'tamu dari luar'," ujar Brandt.