Dunia keamanan siber terus berkembang seiring munculnya varian ransomware baru yang berasal dari kampanye lama. Salah satunya adalah Midnight ransomware, yang banyak terinspirasi dari keluarga Babuk ransomware—nama yang pertama kali muncul di awal tahun 2021.
Baca Juga : Ransomware LockBit 5.0 Serang Data Perusahaan di Berbagai Platform
Sama seperti pendahulunya, Midnight menggunakan teknik enkripsi canggih dan strategi pemilihan file yang spesifik untuk memaksimalkan kerusakan pada sistem yang terinfeksi.
Namun, yang membuat varian ini menarik adalah adanya kelemahan kriptografi yang tidak sengaja dibuat oleh pembuatnya. Celah ini justru memberi kesempatan langka bagi korban untuk memulihkan data mereka tanpa harus membayar tebusan.
Dari Babuk ke Midnight Ransomware
Perjalanan Midnight berawal dari tahun 2021, ketika operator Babuk tiba-tiba menghentikan operasinya dan merilis kode sumber lengkap ransomware tersebut ke publik. Aksi itu memicu lahirnya banyak ransomware turunan yang memanfaatkan kode tersebut sebagai dasar.
Tim analis keamanan dari GenDigital menemukan bahwa Midnight merupakan salah satu hasil evolusi dari Babuk. Struktur dasarnya masih sama, tapi ada beberapa modifikasi pada sistem enkripsi yang ternyata membuat perlindungan file jadi tidak sekuat aslinya.
Penemuan ini menjadi titik balik penting. Berkat kesalahan desain tersebut, para peneliti berhasil mengembangkan alat dekripsi fungsional yang memungkinkan korban untuk mengembalikan file mereka. Dari yang tadinya bisa jadi bencana besar, kini berubah jadi situasi yang masih bisa diselamatkan.
Celah di Desain dan Implementasi Kriptografi
.webp "Celah di Desain dan Implementasi Kriptografi")
Kalau dilihat dari sisi teknis, kelemahan Midnight ransomware muncul dari cara ia menerapkan enkripsinya.
Malware ini memakai ChaCha20 untuk mengenkripsi isi file, dan RSA untuk melindungi kunci ChaCha20-nya.
Masalahnya, kunci RSA yang terenkripsi beserta hash SHA256-nya langsung ditempelkan di akhir setiap file yang terenkripsi. Formatnya pun sama di semua sampel yang ditemukan.
Desain seperti ini memang membuat proses enkripsi jadi lebih sederhana bagi pelaku, tapi di sisi lain menciptakan pola yang mudah ditebak. Inilah yang akhirnya dimanfaatkan oleh peneliti keamanan untuk mengembangkan alat dekripsi yang efektif.
Bagaimana Midnight Bekerja di Sistem Korban
.webp "Bagaimana Midnight Bekerja di Sistem Korban")
Midnight punya fleksibilitas tinggi lewat perintah command-line yang bisa mengubah perilakunya.
-
Parameter /e digunakan untuk menambahkan ekstensi seperti .Midnight pada file, tanpa mengganti nama aslinya.
-
Parameter /n memungkinkan enkripsi pada drive jaringan (network-mounted volumes).
-
Sementara itu, opsi –paths=PATHS digunakan untuk menentukan folder tertentu yang ingin dienkripsi.
Versi awal ransomware ini menargetkan file bernilai tinggi seperti database, backup, dan arsip dengan ekstensi .sql, .mdf, .bak, dan .dbf.
Tapi di versi-versi barunya, Midnight mulai memperluas jangkauan dengan mengenkripsi hampir semua jenis file—kecuali file yang bisa dieksekusi seperti .exe, .dll, dan .msi.
Ciri-Ciri Sistem yang Terinfeksi
Sistem yang terinfeksi Midnight biasanya punya tanda-tanda khusus seperti:
-
Munculnya file catatan tebusan berjudul “How To Restore Your Files.txt”
-
File yang berubah ekstensi menjadi .Midnight atau .endpoint
-
Adanya mutex bernama “Mutexisfunnylocal” yang mencegah malware berjalan ganda di sistem yang sama
Kalau kamu menemukan pola-pola ini di sistem organisasi atau perangkatmu, segera lakukan langkah isolasi dan pencegahan. Kabar baiknya, sekarang sudah tersedia alat dekripsi gratis yang bisa membantu memulihkan file tanpa perlu membayar sepeser pun ke pelaku ransomware.
Baca Juga : Serangan Akira Ransomware Bocorkan 23GB Data Apache OpenOffice
Kasus Midnight ransomware ini jadi contoh menarik bagaimana kesalahan kecil dalam desain kriptografi bisa berubah jadi penyelamat bagi korban.
Dengan munculnya alat dekripsi yang efektif, organisasi yang terdampak bisa mengembalikan data mereka tanpa harus tunduk pada tuntutan pelaku.
Tetap waspada, terus update sistem keamanan, dan pastikan kamu punya backup rutin agar tidak jadi korban berikutnya. Dunia siber memang penuh kejutan—kadang ancaman, tapi kali ini, justru kesempatan untuk pulih.
