ArenaLTE.com – Perangkat lunak jahat yang dihadirkan oleh para penjahat cyber, biasanya hadir dengan nama yang unik dan menyeramkan. Namun, apa jadinya jika nama tersebut dibuat dari sebuah istilah kata yang cukup jahil digunakan saat ini? Ya, ransomeware atau piranti lunak jahat yanng hadir kali ini memang berbeda, bahkan berkat penamaan kimcilware yang digunakan si pembuat teridentifikasi jelas bahwa nama ini berasal dari wilayah Indonesia.

Kata Kimcil memang cukup terdengar ramah di telinga, khususnya bagi mereka yang tinggal di wilayah Jawa Tengah dan Jawa Timur. Dari penggunaan nama tersebut, menimbulkan kecurigaan bahwa pelaku berasal dari Indonesia. Kimcil sendiri berarti perempuan nakal. Indikasi lain yang menguatkan dugaan ransomware ini buatan lokal terlihat dari alamat email pelaku yang tercantum dalam ransom note yang menggunakan nama tuyuljahat, sangat Indonesia bukan?

Dalam siaran rilis dari eset, perusahaan keamanan perangkat lunak mengungkapkan bahwa KimcilWare yang baru saja ditemukan khusus mengincar situs-situs yang menggunakan Magento eCommerce. Dengan kata lain, Kimcil menargetkan sasarannya pada situs-situs belanja online atau sejenisnya yang terkenal dan belakangan ini situs seperti ini memang sedang marak di Indonesia. Website para korban yang terinfeksi akan dienkrip menggunakan Rijndael 256 dan kemudian seperti biasa pelaku akan meminta sejumlah uang tebusan dengan jumlah tergantung dari varian yang menginfeksi mereka.

Pada identifikasi jenis ransomware ini, kimcilware disebut sebagai varian yang berasal dari Hidden Tear, sebuah ransomware yang sudah lama diabaikan karena memiliki masalah pada koneksi ke server Command & Control namun dibagikan secara gratis untuk keperluan edukasi.

kimcil1

Pengembang malware ini tampaknya berhasil mendapatkan source Hidden Tear dan sudah memperbaiki kelemahan tersebut, hingga mampu membuat varian baru dengan nama Kimcilware. Setiap server yang terjangkit Kimcil mereka akan mendapat sebuah ransom note yang berisi alamat email yaitu tuyuljahat@hotmail.com.

Situs e-commerce dengan platform Magento adalah sasaran Kimcil. Disinyalir pelaku juga sudah meretas server yang menggunakan Magento setidaknya selama satu bulan terakhir dan mencuri data, dan mengembangkan kemampuannya dengan malware ini. Ketika mereka mulai menyerang situs, mereka menggunakan setidaknya dua script berbeda untuk melakukan enkripsi. Malware ini akan mengenkripsi semua data pada website dan menambahkan ekstensi sesuai variannya.