Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Cyber Attack

Cyber Attack

Kegigihan Membuahkan Hasil: Peretas Menyerang Tanpa File di Server SQL Menggunakan Utilitas Bawaan

by

Microsoft pada hari Selasa memperingatkan bahwa mereka baru-baru ini melihat kampanye jahat yang menargetkan SQL Server yang memanfaatkan biner PowerShell bawaan untuk mencapai kegigihan pada sistem yang disusupi.

Intrusi yang memanfaatkan serangan brute-force sebagai vektor kompromi awal, menonjol karena penggunaan utilitas “sqlps.exe.”

Tujuan akhir dari kampanye tidak diketahui, begitu juga identitas aktor ancaman yang mementaskannya. Microsoft melacak malware dengan nama “SuspSQLUsage.”

Utilitas sqlps.exe, yang datang secara default dengan semua versi SQL Server, memungkinkan Agen SQL — layanan Windows untuk menjalankan tugas terjadwal — untuk menjalankan pekerjaan menggunakan subsistem PowerShell.

“Para penyerang mencapai ketekunan tanpa file dengan memunculkan utilitas sqlps.exe, pembungkus PowerShell untuk menjalankan cmdlet yang dibuat SQL, untuk menjalankan perintah pengintaian dan mengubah mode mulai layanan SQL ke LocalSystem,” Microsoft mencatat.

Selain itu, penyerang juga telah diamati menggunakan modul yang sama untuk membuat akun baru dengan peran sysadmin, yang secara efektif memungkinkan untuk mengambil kendali atas SQL Server.

Ini bukan pertama kalinya aktor ancaman mempersenjatai binari sah yang sudah ada di lingkungan, teknik yang disebut living-off-the-land (LotL), untuk mencapai tujuan jahat mereka.

Keuntungan yang ditawarkan oleh serangan semacam itu adalah bahwa mereka cenderung tanpa file karena tidak meninggalkan artefak apa pun dan aktivitasnya cenderung tidak ditandai oleh perangkat lunak antivirus karena mereka menggunakan perangkat lunak tepercaya.

Idenya adalah untuk memungkinkan penyerang untuk berbaur dengan aktivitas jaringan biasa dan tugas administratif normal, sambil tetap tersembunyi untuk waktu yang lama.

“Penggunaan biner hidup-off-the-land (LOLBin) yang tidak biasa ini menyoroti pentingnya mendapatkan visibilitas penuh ke dalam perilaku runtime skrip untuk mengekspos kode berbahaya,” kata Microsoft.

Sumber: The Hacker News

‘Space Pirates’ China meretas perusahaan kedirgantaraan Rusia

by

Grup peretasan China yang sebelumnya tidak dikenal yang dikenal sebagai ‘Space Pirates’ menargetkan perusahaan di industri kedirgantaraan Rusia dengan email phishing untuk menginstal malware baru di sistem mereka.

Kelompok ancaman diyakini telah mulai beroperasi pada tahun 2017, dan meskipun memiliki tautan ke kelompok-kelompok yang dikenal seperti APT41 (Winnti), Mustang Panda, dan APT27, itu dianggap sebagai kelompok baru aktivitas jahat.

Analis ancaman Rusia di Positive Technologies menamai kelompok itu “Space Pirates” karena operasi spionase mereka yang berfokus pada mencuri informasi rahasia dari perusahaan di bidang kedirgantaraan.

Grup Space Pirates APT terlihat menargetkan lembaga pemerintah dan perusahaan yang terlibat dalam layanan TI, kedirgantaraan, dan industri tenaga listrik yang berlokasi di Rusia, Georgia, dan Mongolia.

Analis ancaman pertama kali menemukan tanda-tanda aktivitas Space Pirates musim panas lalu selama respons insiden dan dengan cepat mengonfirmasi bahwa pelaku ancaman menggunakan malware dan infrastruktur yang sama terhadap setidaknya empat entitas domestik lagi sejak 2019.

Dua dari kasus ini menyangkut perusahaan Rusia dengan partisipasi negara, yang berhasil dikompromikan oleh peretas.

Dalam kasus pertama, pelaku ancaman mempertahankan akses mereka ke 20 server selama sepuluh bulan, mencuri lebih dari 1.500 dokumen, detail karyawan, dan data sensitif lainnya.

Dalam kasus kedua, peretas China tetap berada di jaringan perusahaan yang disusupi selama lebih dari setahun, menyedot informasi rahasia dan memasang malware mereka ke 12 node jaringan perusahaan di tiga wilayah berbeda.

Gudang Bajak Laut Luar Angkasa terdiri dari pemuat khusus yang bersembunyi di balik dokumen umpan, pintu belakang yang sedikit dimodifikasi yang telah ada selama bertahun-tahun, malware merek dagang Cina PlugX, dan putaran khusus pintu belakang PcShare.

Selain itu, serangan Space Pirates juga menggunakan ShadowPad, Zupdax, PoisonIvy, dan ReVBShell dalam serangan.

Selain di atas, APT yang baru ditemukan menggunakan tiga alat malware modular yang sebelumnya tidak terdokumentasi, yaitu Deed RAT, BH_A006, dan MyKLoadClient.

Pemuatan kode shell BH_A006 (PT)

Alat kustom lain yang menarik adalah Deed RAT, yang menampilkan metode yang tidak biasa dan cerdas untuk mentransfer kontrol ke shellcode.

Fungsi Deed RAT bergantung pada plugin mana yang diambil dan dimuat. Misalnya, PT telah melihat delapan plugin untuk startup, konfigurasi C2, instalasi, injeksi kode ke dalam proses, interaksi jaringan, manajemen koneksi, pengeditan registri, pemantauan registri, dan sniffing proxy.

Protokol yang didukung untuk komunikasi C2 termasuk TCP, TLS, HTTP, HTTPS, UDP, dan DNS, jadi umumnya ada tingkat keserbagunaan yang tinggi.

Perintah-perintah yang didukung oleh Deed RAT adalah sebagai berikut:

  • Kumpulkan informasi sistem
  • Buat saluran komunikasi terpisah untuk plugin
  • Hapus sendiri

    • Selengkapnya

Analis ancaman percaya bahwa tumpang tindih antara berbagai APT China disebabkan oleh pertukaran alat, fenomena umum bagi peretas di wilayah tersebut.

Menggunakan alat bersama semakin mengaburkan jejak kelompok ancaman yang berbeda dan membuat pekerjaan analis jauh lebih sulit, sehingga APT China memiliki banyak alasan untuk mengikuti praktik ini.

Berbagai hubungan antara APT Cina (PT)

Space Pirates juga terlihat menyebarkan malware khusus mereka di beberapa perusahaan China untuk keuntungan finansial, sehingga kelompok ancaman mungkin memiliki fungsi ganda.

Spionase adalah operasi standar untuk APT China, dan Rusia adalah target valid yang unggul di bidang kedirgantaraan, senjata, teknik listrik, pembuatan kapal, dan teknologi nuklir.

Sumber:Bleeping Computer

Bank nasional terkena ransomware troll hacker dengan foto penis

by

Setelah menderita serangan ransomware oleh operasi Hive, Bank Zambia menjelaskan bahwa mereka tidak akan membayar dengan memposting gambar alat kelamin laki-laki dan memberi tahu para peretas untuk s… (yah, Anda dapat menggunakan imajinasi Anda).

Pekan lalu, Bank of Zambia, bank sentral negara itu, mengungkapkan bahwa pemadaman teknis baru-baru ini diakibatkan oleh serangan siber.

“Bank Zambia ingin menginformasikan kepada masyarakat bahwa pihaknya mengalami gangguan sebagian pada beberapa aplikasi Teknologi Informasi (TI) pada Senin 9 Mei 2022,” ungkap bank dalam siaran pers.

“Gangguan, yang mempengaruhi beberapa sistem di Bank seperti Sistem Pemantauan Bureau De Change dan Situs Web, berasal dari insiden keamanan siber yang dicurigai. Kami ingin memberitahukan bahwa sistem ini telah dipulihkan sepenuhnya.”

Sementara Bank of Zambia tidak mengungkapkan rincian serangan siber, BleepingComputer mengetahui bahwa serangan itu dilakukan oleh operasi ransomware Hive, yang mengklaim telah mengenkripsi perangkat Network Attached Storage (NAS) bank.

Namun, alih-alih membayar uang tebusan, perwakilan bank menanggapi negosiasi tebusan dengan mengolok-olok ’14m3-sk1llz’ milik peretas.

Mereka kemudian melanjutkan untuk memposting tautan ke gambar kontol sambil menyatakan, “hisap penis ini dan berhenti mengunci jaringan bank dengan berpikir bahwa Anda akan memonetisasi sesuatu, belajarlah untuk menghasilkan uang.”

Obrolan ini membuat peneliti keamanan MalwareHunterTeam memposting jajak pendapat yang menanyakan apakah orang merasa foto seperti ini dalam negosiasi tebusan berarti dibajak atau pesannya berasal dari korban.

Hari ini, Bloomberg melaporkan bahwa Direktur Teknis Bank, Greg Nsofu, mengatakan mereka telah melindungi sistem inti bank, sehingga tidak perlu terlibat dengan pelaku ancaman.

Namun, Nsofu berkata, “Jadi kami cukup memberi tahu mereka di mana harus turun,” membenarkan bahwa seseorang yang berafiliasi dengan bank yang menanggapi Hive.

Tanggapan bank terhadap pelaku ancaman mungkin bukan metode yang tepat untuk semua organisasi, tetapi mereka harus dipuji karena menjelaskan bahwa mereka tidak akan menyerah pada tuntutan penyerang.

Sementara ransomware tetap menjadi masalah besar bagi pengguna perusahaan dan rumahan, cara terbaik untuk mengakhiri momok ini adalah dengan tidak membayar uang tebusan dan memulihkan dari cadangan.

Menggabungkan non-pembayaran dengan peningkatan tindakan penegakan hukum dan sanksi pemerintah, semoga kita akan melihat operasi ransomware perlahan memudar.

Sumber: Bleeping Computer

Peretas menargetkan plugin Tatsu WordPress dalam jutaan serangan

by

Peretas secara besar-besaran mengeksploitasi kerentanan eksekusi kode jarak jauh, CVE-2021-25094, di plugin Tatsu Builder untuk WordPress, yang diinstal di sekitar 100.000 situs web.

Hingga 50.000 situs web diperkirakan masih menjalankan versi plugin yang rentan, meskipun patch telah tersedia sejak awal April.

Gelombang serangan besar dimulai pada 10 Mei 2022 dan mencapai puncaknya empat hari kemudian. Eksploitasi saat ini sedang berlangsung.

Tatsu Builder adalah plugin populer yang menawarkan fitur pengeditan template canggih yang terintegrasi langsung ke browser web.

Kerentanan yang ditargetkan adalah CVE-2021-25094, memungkinkan penyerang jarak jauh untuk mengeksekusi kode arbitrer di server dengan versi plugin yang kedaluwarsa (semua dibuat sebelum 3.3.12).

Cacat itu ditemukan oleh peneliti independen Vincent Michel, yang mengungkapkannya secara terbuka pada 28 Maret 2022, bersama dengan kode eksploitasi proof of concept (PoC).

Vendor merilis tambalan di versi 3.3.13 dan memberi tahu pengguna melalui email pada 7 April 2022, mendesak mereka untuk menerapkan pembaruan.

Jumlah situs yang diserang (Wordfence)

Wordfence, sebuah perusahaan yang menawarkan solusi keamanan untuk plugin WordPress, telah memantau serangan saat ini. Para peneliti memperkirakan bahwa ada antara 20.000 dan 50.000 situs web yang menjalankan versi Tatsu Builder yang rentan.

Wordfence melaporkan melihat jutaan serangan terhadap pelanggannya, memblokir 5,9 juta upaya kekalahan pada 14 Mei 2022.

Serangan terdeteksi dan diblokir oleh Wordfence

Volume telah menurun pada hari-hari berikutnya, tetapi upaya eksploitasi terus berlanjut pada tingkat yang tinggi.

Pelaku ancaman mencoba menyuntikkan penetes malware ke dalam subfolder dari direktori “wp-content/uploads/typehub/custom/” dan menjadikannya file tersembunyi.

Fungsi pemeriksaan file ekstensi melewatkan file tersembunyi (darkpills)

Dropper bernama “.sp3ctra_XO.php” dan memiliki hash MD5 dari 3708363c5b7bf582f8477b1c82c8cbf8.

Wordfence melaporkan bahwa lebih dari satu juta serangan datang dari hanya tiga alamat IP: 148.251.183[.]254, 176.9.117[.]218, dan 217.160.145[.]62. Administrator situs web disarankan untuk menambahkan IP ini ke daftar blokir mereka.

Tentu saja, indikator kompromi ini tidak stabil dan penyerang dapat beralih ke yang lain, terutama sekarang setelah mereka diekspos ke publik.

Semua pengguna plugin Tatsu Builder sangat disarankan untuk meningkatkan ke versi 3.3.13 untuk menghindari risiko serangan.

Sumber: Bleeping Computer

Docker Dalam Kepungan: Penjahat Cyber ​​Mengkompromikan Honeypots untuk Meningkatkan Serangan

by

Penjahat dunia maya meningkatkan serangan mereka ke Docker Engine — fondasi perangkat lunak dari infrastruktur kontainer yang digunakan oleh banyak perusahaan cloud-native. Para peneliti menandai sepasang kampanye siber minggu ini yang menunjukkan peningkatan risiko, termasuk kompromi yang bertujuan meluncurkan serangan denial-of-service (DoS) terhadap target Rusia.

Pada tanggal 5 Mei, para peneliti di platform manajemen cloud Uptycs mengatakan bahwa penyerang mengkompromikan honeypot perusahaan, server Docker yang dikonfigurasi untuk memungkinkan koneksi melalui API Docker jarak jauh. Serangan tersebut mengakibatkan penjahat dunia maya menginstal perangkat lunak cryptomining dan membuat cangkang terbalik, yang memungkinkan mereka menjelajahi server secara real time.

Perusahaan telah mendeteksi 10 hingga 20 upaya untuk mengkompromikan server honeypot setiap hari, menunjukkan bahwa penyerang telah meningkatkan minat mereka pada infrastruktur berbasis Docker, kata Amit Malik, direktur penelitian ancaman di Uptycs.

“Kami mengonfigurasi salah satu mesin kami sebagai honeypot, dan dalam waktu tiga jam, kami melihatnya terganggu, jadi kami harus mematikannya dan membangunnya kembali,” kata Malik. “Titik infeksi sangat cepat.”

Serangan pada infrastruktur berbasis Docker Uptycs tidak unik. Insiden ini juga terjadi pada perusahaan lain.

Daftar target termasuk situs web pemerintah Rusia dan Belarusia, militer, media, dan sektor ritel, serta sektor pertambangan, manufaktur, kimia, dan teknologi Rusia, menurut CrowdStrike.

Divisi Keamanan Perlu Fokus pada Ancaman Docker

Sementara Docker terkenal di komunitas pengembangan dan DevOps, profesional keamanan mungkin tidak menyadari potensi konfigurasi yang tidak aman atau kerentanan untuk merusak keamanan perusahaan, kata Meyers.

Serangan mengkhawatirkan: Pada bulan Desember, startup keamanan Prevasio menemukan bahwa 51% dari 4 juta gambar yang mereka pindai di Docker Hub menyertakan paket yang memiliki kerentanan keamanan kritis. Di bagian depan kesalahan konfigurasi, sementara mengekspos Docker API jarak jauh bukanlah konfigurasi umum — saat ini Shodan menghitung 803 aset yang mengekspos port 2375 — pemindaian port yang relatif sering berarti bahwa kesalahan konfigurasi apa pun akan dieksploitasi dengan cepat.

“Ini adalah teknologi yang relatif baru, dan dengan teknologi baru apa pun ada kurva keamanan yang menyertainya,” kata Meyers. “Ada kurangnya kesadaran umum di sekitar ancaman, dan itulah hal yang kami coba kibarkan di sini. Anda harus menganggap serius keamanan Docker.”

Lebih Banyak Visibilitas Dibutuhkan ke Docker
Untuk memahami tingkat risikonya, bisnis harus memastikan bahwa mereka dapat secara memadai memantau area permukaan serangan aset seperti Docker, server Kubernetes, dan infrastruktur terkait DevOps, kata Siddharth Sharma, seorang peneliti di Uptycs.

“Sebagian besar serangan ini tidak diketahui karena orang mungkin tidak memiliki solusi keamanan komprehensif yang memantau infrastruktur Docker mereka,” katanya. “Jadi penyerang tidak akan sering terdeteksi, kecuali ada yang tidak beres. Tapi seringkali jenis [payload] yang mereka pasang tidak jelas.”

Tahun lalu, Docker mengubah persyaratan lisensi Docker Desktop, pindah ke model berlangganan dan berargumen bahwa perubahan tersebut akan membantu perusahaan mendukung lebih banyak fitur keamanan dan audit. Langkah tersebut dilakukan dua tahun setelah perusahaan berpisah, terbagi menjadi Docker — berfokus pada pengembangan dengan Docker Hub dan Docker Desktop — dan komponen infrastruktur perusahaan Docker Enterprise, yang dijual ke Mirantis.

Sumber: Dark Reading

Peretas sekarang menyembunyikan malware di Windows Event Logs

by

Peneliti keamanan telah memperhatikan kampanye jahat yang menggunakan Windows Event Logs untuk menyimpan malware, sebuah teknik yang sebelumnya tidak didokumentasikan secara publik untuk serangan di alam liar.

Metode ini memungkinkan aktor ancaman di balik serangan untuk menanam malware tanpa file di sistem file dalam serangan yang diisi dengan teknik dan modul yang dirancang untuk menjaga aktivitas senyaman mungkin.

Para peneliti di Kaspersky mengumpulkan sampel malware setelah menjadi produk perusahaan yang dilengkapi dengan teknologi untuk deteksi berbasis perilaku dan kontrol anomali mengidentifikasinya sebagai ancaman di komputer pelanggan.

Penyelidikan mengungkapkan bahwa malware adalah bagian dari kampanye “sangat bertarget” dan mengandalkan seperangkat alat yang besar, baik yang tersedia secara khusus maupun yang tersedia secara komersial.

Salah satu bagian yang paling menarik dari serangan ini adalah menyuntikkan muatan shellcode ke Windows Event Logs untuk Layanan Manajemen Kunci (KMS), tindakan yang diselesaikan oleh penetes malware khusus.

sumber: Kaspersky

Penetes menyalin file penanganan kesalahan OS yang sah WerFault.exe ke ‘C:\ untuk memuat kode berbahaya.

Pembajakan DLL adalah teknik peretasan yang mengeksploitasi program yang sah dengan pemeriksaan yang tidak memadai untuk memuat ke memori Dynamic Link Library (DLL) berbahaya dari jalur arbitrer.

Legezo mengatakan bahwa tujuan penetes adalah untuk memuat pada disk untuk proses pemuatan samping dan untuk mencari catatan tertentu di log peristiwa (kategori 0x4142 – ‘AB’ di ASCII. Jika tidak ada catatan seperti itu ditemukan, ia menulis potongan 8KB dari shellcode terenkripsi, yang kemudian digabungkan untuk membentuk kode untuk tahap berikutnya.

Teknik baru yang dianalisis oleh Kaspersky kemungkinan akan menjadi lebih populer karena Soumyadeep Basu, yang saat ini magang di tim merah Mandiant, telah membuat dan menerbitkan kode sumber GitHub untuk memasukkan muatan ke dalam Windows Event Logs

Berdasarkan berbagai teknik dan modul (pen-testing suites, custom anti-detection wrapper, trojan tahap akhir) yang digunakan dalam kampanye, Legezo mencatat bahwa seluruh kampanye “terlihat mengesankan”.

Di antara alat yang digunakan dalam serangan itu adalah kerangka pengujian penetrasi komersial Cobalt Strike dan NetSPI (mantan SilentBreak).

Sementara beberapa modul dalam serangan diyakini kustom, peneliti mencatat bahwa mereka mungkin menjadi bagian dari platform NetSPI, yang lisensi komersialnya tidak tersedia untuk pengujian.

Misalnya, dua trojan bernama ThrowbackDLL.dll dan SlingshotDLL.dll mungkin merupakan alat dengan nama yang sama yang dikenal sebagai bagian dari kerangka pengujian penetrasi SilentBreak.

Investigasi melacak tahap awal serangan hingga September 2021 ketika korban ditipu untuk mengunduh arsip RAR dari layanan berbagi file file.io.

Pelaku kemudian menyebarkan modul Cobalt Strike yang ditandatangani dengan sertifikat dari perusahaan bernama Fast Invest ApS. Sertifikat tersebut digunakan untuk menandatangani 15 file dan tidak ada satupun yang sah.

sumber: Kaspersky

Dalam sebagian besar kasus, tujuan akhir dari malware yang ditargetkan dengan fungsionalitas tahap terakhir seperti itu adalah mendapatkan beberapa data berharga dari para korban. Para peneliti melacak aktivitas baru sebagai SilentBreak, setelah nama alat yang paling banyak digunakan dalam serangan itu.

Sumber: Bleeping Computer

Serangan Keamanan Siber Melonjak saat Perang Ukraina-Rusia Berkecamuk

by

Apa yang dilihat orang adalah perang antara tentara Rusia dan Ukraina, yang kurang diketahui adalah skala perang hibrida. Sebuah istilah yang diciptakan oleh NATO untuk menggambarkan kombinasi perang kinetik dan informasi. Realitas yang sedang berlangsung adalah campuran ampuh dari serangan kinetik dengan senjata dan amunisi, yang digunakan dalam kombinasi dengan serangan dunia maya, dan kampanye disinformasi. Hal ini sangat melegakan bagaimana hubungan internasional bekerja telah berubah dalam dekade terakhir. Sebagian besar pakar hubungan internasional dan diplomat setuju bahwa revolusi ini merupakan komponen penting dari transformasi digital yang sedang berlangsung di seluruh masyarakat, dan oleh karena itu perang dunia maya menjadi lebih menjadi kenyataan daripada teori.

Dari segi sosiologis, kesatuan negara, masyarakat, dan ekonomi tidak bisa lagi dianggap remeh, karena tidak ada batasan geografis dalam perang siber. Lingkungan ini dicirikan oleh signifikansi yang diberikan pada informasi, pengetahuan, dan gagasan sebagai sumber daya dalam hubungan internasional, dan dengan perluasan – informasi yang menyebabkan kemungkinan dampak kinetik, atau non-kinetik dalam konflik bersenjata.

Dalam beberapa minggu terakhir, Rusia telah menggunakan perang kinetik disertai dengan kampanye disinformasi yang diatur dengan baik. Kampanye disinformasi yang khas dapat merusak kebenaran, membingungkan orang-orang dari kedua belah pihak dan menarik narasi palsu, menabur benih perselisihan dan ketidakpercayaan di antara masyarakat luas. Menggunakan operasi psikologis dan/atau perang informasi membutuhkan kerja sama dari entitas sektor publik dan swasta dari pihak Rusia untuk mencapai massa kritis agar kampanye disinformasi menjadi nyata.

Dalam konteks perang Rusia-Ukraina, aktor ancaman muncul dari web gelap, mencoba mengambil keuntungan finansial dari situasi kacau. Jaringan perusahaan dan akses basis data ditawarkan oleh pelaku ancaman dengan imbalan uang. Serangan Hermetic Wiper yang merusak lebih lanjut diamati sebagai yang paling umum selama perang Rusia Ukraina yang sedang berlangsung serta menjelang perang kinetik.

Apa dampak dari serangan cyber?

Para peneliti telah memperkirakan serangan siber sebagai komponen utama dalam perang di masa depan. Komponen ini dikatakan sebagai domain konflik kelima setelah darat, udara, laut, dan ruang angkasa.

Efek yang paling menonjol dari operasi cyber, menurut peneliti akan mengganggu operasi militer. Misalnya, peretas dapat mengganggu saluran komunikasi untuk menghentikan komando tinggi mengirim perintah ke pasukan garis depan. Ini akan menyebabkan tindakan tertunda dalam situasi perang. Metode serangan lain bagi peretas adalah memalsukan pesan dengan instruksi palsu untuk menggunakan situasi demi kepentingan mereka.

Dalam perang ini, serangan siber digunakan untuk menciptakan kepanikan dan menurunkan kemampuan lawan untuk bertarung, operasi informasi mematahkan tekad untuk merespons dan mendorong narasi yang kondusif bagi pasukan penyerang, bahkan melegitimasi agresi. Operasi kinetik dengan demikian sesuai dibantu dengan pelunakan medan perang. Ketika NATO menuduh Rusia melakukan perang hibrida, inilah yang mereka maksud.

Hermetic Wiper

Target: Bisnis di Ukraina
Motivasi: mengenkripsi data komputer dengan cara yang tidak dapat dipulihkan
Hasil: Hingga saat ini telah menyebabkan kerugian finansial sebesar $10 miliar secara global
Deskripsi: Nama Hermetic Wiper diberikan berdasarkan sertifikat digital yang dicuri dari sebuah perusahaan bernama Hermetic Digital Ltd. Malware tersebut memecah-mecah file pada disk dan menimpanya melalui utilitas master boot recovery (MBR) untuk membuat pemulihan menjadi tidak mungkin. Secara praktis, malware memperoleh akses tulis ke struktur data tingkat rendah pada disk. Karena sifat fungsionalnya, ia juga dikenal sebagai malware penghapus disk atau hanya disebut sebagai penghapus. Serangan cyber menyebarkan malware yang terutama menghapus data ditemukan hanya beberapa jam sebelum pasukan Rusia memasuki Ukraina, ini dapat dianggap sebagai serangan pertama Moskow terhadap Ukraina.
Hermetic Wiper IOC’s

  • 1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591
  • 0385eeab00e946a302b24a91dea4187c1210597b8e17cd9e2230450f5ece21da
  • A64c3e0522fad787b95bfb6a30c3aed1b5786e69e88e023c062ec7e5cebf4d3e

MITRE ATT&CK Mapping for Hermetic Wiper

Selengkapnya: LMNTRIX

Stormous: Geng Ransomware Pro-Rusia Menargetkan AS dan Ukraina

by

Sebagai bagian dari penelitian Dark Web dan cybercriminal reguler kami, Trustwave SpiderLabs telah menemukan dan menganalisis postingan dari grup ransomware pro-Rusia yang bermotivasi politik bernama Stormous. Kelompok tersebut baru-baru ini menyatakan dukungan untuk Rusia dalam perangnya dengan Ukraina, menyerang Kementerian Luar Negeri Ukraina dan diduga memperoleh dan membuat nomor telepon umum, alamat email, dan kartu identitas nasional. Kelompok itu juga mengklaim memiliki operasi ransomware yang sukses terhadap merek-merek besar Amerika Coca-Cola, Mattel dan Danaher. Secara total, Stormous mengklaim telah mengakses dan merusak 700 situs web AS dan menyerang 44 perusahaan Amerika.

Siapa Stormous?

Stormous, yang mungkin telah mulai beroperasi pada pertengahan 2021, telah memposting pernyataan misi yang menyatakan tujuannya adalah untuk menyerang target di AS dan negara-negara barat lainnya. Tujuan ini bergeser pada tahun 2022, menambahkan Ukraina dan India ke daftar targetnya. Cara mereka mendiskusikan negara sebagai target mereka dibandingkan dengan bisnis atau industri tertentu menunjukkan bahwa politik lebih memengaruhi perubahan target ini daripada keuntungan finansial.

Analisis awal kami terhadap Stormous menunjukkan geng tersebut kemungkinan memiliki anggota yang berlokasi di negara-negara Timur Tengah dan Rusia. Beberapa postingan kelompok itu ditulis dalam bahasa Arab bersama dengan sikap publiknya yang pro-Rusia, yang konsisten dengan wilayah tersebut. Apalagi, dua anggota kelompok yang ditangkap berasal dari negara-negara timur tengah.

Grup berkomunikasi melalui saluran Telegram dan situs web .onion di Tor. Ada sedikit obrolan di saluran Telegram, dengan percakapan yang sebagian besar terdiri dari proklamasi grup. Meskipun grup tersebut mengidentifikasi dirinya sebagai grup ransomware, grup tersebut tidak beroperasi sebagai Ransomware-as-a-Service (RaaS), dan tidak diketahui jenis ransomware apa yang mungkin digunakan dalam kampanye mereka.

Era Baru Penjahat Dunia Maya

Gaya baru kelompok ancaman Stormous yang tidak takut — dan bahkan mencari pujian publik — dapat membuat anggotanya lebih rentan untuk ditemukan dan ditangkap.

Meskipun mungkin ada sisi positif dari perspektif pengaruh dan branding untuk membuat aktivitas peretasan menjadi publik, penegak hukum dapat menggunakan informasi komunikasi untuk membawa penjahat dunia maya lebih cepat ke pengadilan.

Trustwave SpiderLabs akan terus melacak ancaman Stormous dan aktivitas grup saat lebih banyak informasi tersedia.

Sumber: Trustwave