LeakNet Ransomware Gunakan ClickFix dari Situs Diretas dan Loader In-Memory Deno
LeakNet ransomware telah mengadopsi teknik social engineering bernama ClickFix yang disebarkan melalui situs web yang diretas sebagai metode akses awal.
Teknik ClickFix ini melibatkan cara pengguna dibujuk untuk menjalankan perintah berbahaya secara manual guna memperbaiki kesalahan yang sebenarnya tidak ada. Pendekatan ini berbeda dari metode tradisional yang biasanya mengandalkan kredensial curian dari broker akses awal (IAB), menurut laporan teknis yang dirilis oleh ReliaQuest pada Maret 2026.
Teknik ClickFix dan Penggunaan Situs Kompromi
Dalam serangan LeakNet, situs web yang sah tapi telah diretas digunakan untuk menyajikan pemeriksaan CAPTCHA palsu yang mengarahkan pengguna menyalin dan menempel perintah "msiexec.exe" ke dialog Windows Run. Cara ini membuat korban tanpa sadar menjalankan perintah berbahaya yang membuka pintu bagi ransomware.
Keunggulan metode ini antara lain:
- Pengurangan ketergantungan pada pihak ketiga seperti broker akses awal.
- Biaya per korban lebih rendah karena tidak perlu membeli akun berharga di pasar gelap.
- Skalabilitas lebih tinggi dengan menyasar berbagai sektor secara luas tanpa batasan industri tertentu.
ReliaQuest menegaskan bahwa ini merupakan pergeseran strategis penting bagi LeakNet, yang kini mampu beroperasi lebih cepat dan lebih luas karena tidak lagi tergantung pada infrastruktur milik penyerang yang mudah dideteksi di jaringan.
Loader In-Memory Berbasis Deno untuk Mengevasi Deteksi
Selain ClickFix, LeakNet menggunakan loader bertahap berbasis Deno JavaScript runtime yang menjalankan payload berbahaya langsung di memori. Payload ini dikodekan dalam Base64 dan berfungsi untuk:
- Melakukan fingerprint sistem yang terinfeksi.
- Berkomunikasi dengan server eksternal untuk mengunduh malware tahap berikutnya.
- Berada dalam loop polling yang terus menerus mengambil dan menjalankan kode berbahaya tambahan.
Penggunaan loader ini secara signifikan mengurangi jejak di disk sehingga sulit terdeteksi oleh solusi keamanan tradisional.
Aktivitas Pasca Kompromi dan Teknik Lateral Movement
Setelah berhasil masuk, LeakNet menerapkan metode eksploitasi yang konsisten, dimulai dengan DLL side-loading untuk meluncurkan DLL berbahaya melalui loader Deno. Selanjutnya, mereka menggunakan PsExec untuk bergerak lateral, kemudian melakukan pencurian data dan mengenkripsi file korban.
ReliaQuest menjelaskan:
"LeakNet menjalankan cmd.exe /c klist, perintah Windows bawaan yang menampilkan kredensial autentikasi aktif di sistem yang dikompromikan. Ini membantu penyerang mengetahui akun dan layanan yang sudah dapat diakses tanpa harus meminta kredensial baru, sehingga mempercepat dan memperlancar pergerakan mereka."
Untuk tahap pengumpulan dan pengiriman data, LeakNet memanfaatkan bucket S3 di cloud, memanfaatkan lalu lintas cloud yang tampak normal agar aktivitasnya sulit terdeteksi.
Perluasan Vektor Akses dan Tren Serangan
ReliaQuest juga menemukan upaya intrusi terpisah yang menggunakan phishing berbasis Microsoft Teams yang memancing pengguna menjalankan serangkaian payload dengan loader Deno serupa. Meskipun belum pasti apakah ini merupakan aktivitas LeakNet atau aktor lain, tren ini menunjukkan semakin populernya pendekatan "bring your own runtime" untuk mengelabui sistem keamanan.
Data dari Google Threat Intelligence Group (GTIG) menegaskan bahwa ransomware tetap menjadi ancaman utama, dengan 77% insiden yang dianalisis melibatkan dugaan pencurian data—meningkat dari 57% pada 2024. Dalam sepertiga kasus, eksploitasi kerentanan di VPN dan firewall kerap menjadi vektor akses awal.
GTIG juga mencatat perpindahan fokus beberapa aktor ransomware dari target perusahaan besar ke serangan volume tinggi terhadap organisasi kecil demi keuntungan lebih cepat.
Analisis Redaksi
Menurut pandangan redaksi, adopsi teknik ClickFix oleh LeakNet merupakan game changer dalam lanskap ransomware karena mengurangi ketergantungan pada pasar gelap yang selama ini menjadi bottleneck operasional. Dengan memanfaatkan situs yang sudah terpercaya namun diretas, LeakNet dapat menjalankan serangan yang lebih luas dan sulit dideteksi di tingkat jaringan.
Penggunaan loader Deno berbasis memori menandai tren kekinian dalam pengembangan malware yang makin mengutamakan stealth dan evasi deteksi, menuntut respons lebih canggih dari pelaku keamanan siber. Ini bukan hanya soal teknologi, tapi juga soal perubahan taktik sosial yang memanipulasi kepercayaan pengguna akhir.
Ke depan, organisasi harus meningkatkan kesadaran pengguna terhadap teknik manipulasi seperti ClickFix dan memperkuat deteksi perilaku anomali yang bisa mengindikasikan aktivitas berbahaya pada berbagai tahap serangan. Pengawasan terhadap aktivitas cloud juga harus diperketat, mengingat metode eksfiltrasi data menggunakan bucket S3 terus meningkat.
Dengan semakin berkembangnya teknik ransomware seperti LeakNet, penting bagi sektor keamanan untuk terus beradaptasi dan mengantisipasi inovasi serangan yang menggabungkan manipulasi sosial dan teknologi canggih.
Jangan lewatkan update terbaru seputar ancaman siber dan ransomware dengan mengikuti kami di Google News, Twitter, dan LinkedIn untuk konten eksklusif lainnya.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0
