Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Usai Tutup: BlackMatter Ransomware Giring Korban ke Lockbit

by

Dengan ditutupnya operasi ransomware BlackMatter, afiliasi yang ada memindahkan korban mereka ke situs ransomware LockBit yang bersaing untuk pemerasan lanjutan.

Pagi ini, tersiar kabar bahwa geng ransomware BlackMatter ditutup setelah anggotanya hilang dan ditekan lebih kuat oleh penegak hukum.

Sebagai bagian dari penutupan ini, operator ransomware mengizinkan afiliasi menerima dekripsi untuk negosiasi yang ada sehingga mereka dapat terus memeras korban.

Sementara infrastruktur BlackMatter masih aktif, BleepingCompuer telah mengetahui bahwa afiliasi memindahkan korban yang ada ke situs negosiasi ransomware LockBit.

Dalam obrolan negosiasi BlackMatter yang ada, afiliasi menyediakan tautan korban ke situs Tor LockBit di mana halaman negosiasi baru telah disiapkan untuk mereka.

Sumber: Bleepingcomputer

Di halaman negosiasi LockBit ini, afiliasi BlackMatter terus bernegosiasi dengan korban untuk menerima pembayaran uang tebusan.

Adapun BlackMatter, mereka melanjutkan penutupan mereka. Agenda hari ini adalah menghapus kehadiran mereka dari forum peretasan berbahasa Rusia.

Peneliti keamanan pancak3lullz telah mengikuti aktivitas pembersihan BlackMatter, menunjukkan bahwa geng tersebut menarik 4 Bitcoin (~$250.000) hari ini dari forum peretasan Exploit dan menonaktifkan akun mereka.

Sumber: pancak3lullz

Mereka juga telah mengedit postingan-postingan sebelumnya dan meminta moderator untuk menghapusnya.

Sumber: pancak3lullz

Dengan REvil dan BlackMatter sekarang ditutup, LockBit telah menjadi salah satu operasi ransomware terbesar dan tersukses yang berjalan saat ini.

Perwakilan LockBit yang dikenal sebagai ‘LockbitSupp’ terbukti sebagai aktor yang cerdas yang terus-menerus menyesuaikan taktik untuk merekrut afiliasi baru, terutama saat operasi yang sudah mapan ditutup.

Sementara BlackMatter kemungkinan akan mengubah citra dan kembali sebagai operasi ransomware baru, kemitraan mereka dengan LockBit dapat merugikan mereka dalam jangka panjang karena mereka kehilangan afiliasi yang berpengalaman.

Sumber: Bleepingcomputer

BlackMatter Ransomware Diduga Tutup karena Desakan Polisi

by

Ransomware BlackMatter diduga menghentikan operasinya karena tekanan dari pihak berwenang dan operasi penegakan hukum baru-baru ini.

BlackMatter mengoperasikan situs web ransomware-as-a-service (RaaS) pribadi yang dapat digunakan afiliasi untuk berkomunikasi dengan operator inti, membuka tiket dukungan, dan menerima ransomware baru.

Hari ini, tim riset keamanan VX-Underground mengirim screenshot pesan yang diduga diposting oleh operator BlackMatter pada 1 November di situs webnya. Postingan ini mengingatkan para afiliasi bahwa operasi ransomware ditutup dalam 48 jam.

Source: VX-Underground

Kasarnya, artinya sebagai berikut:

Karena keadaan tertentu yang tidak dapat diselesaikan terkait dengan tekanan dari pihak berwenang (sebagian dari tim tidak lagi tersedia, setelah berita terbaru) – proyek ditutup.

Setelah 48 jam, seluruh infrastruktur akan dimatikan, sehingga:

  • Kirim surat ke perusahaan untuk informasi lebih lanjut.
  • Kasih decryptor di roomchat perusahaan, jika perlu.

Sukses selalu. Senang bekerja dengan kalian.

Jika postingan ini resmi dan BlackMatter berhenti beroperasi, bukan berarti oknum-oknum berhenti memeras korban yang ada.

Berdasarkan postingan tersebut, situs RaaS mengijinkan afiliasi untuk menerima decryptor untuk korban yang ada sehingga mereka dapat terus memeras korban.

Kemungkinan kembali sebagai ransomeware baru

Namun, kalau pun BlackMatter menghentikan operasinya, kemungkinan kita akan melihat mereka kembali sebagai grup yang berbeda di masa mendatang.

Ketika geng ransomware dapat tekanan dari penegak hukum, biasanya mereka menutup operasi dan balik lagi dengan nama baru.

BlackMatter sebenarnya adalah citra baru dari operasi DarkSide, yang ditutup setelah menyerang Colonial Pipeline dan ditekan penuh dari penegakan hukum internasional.

Operasi ransomware lain yang telah berganti nama di masa lalu meliputi:

  • REvil ke GandCrab
  • Labirin ke Egregor
  • Bitpaymer ke DoppelPaymer ke Duka
  • Nemty ke Nefilim ke Karma

Ini tinggal masalah waktu saja sampai operator BlackMatter rilis kembali dengan nama yang berbeda.

CyberDict

Afiliasi: Metode pemasaran/bisnis di mana seseorang mendapatkan sejumlah komisi karena berhasil menjual produk perusahaan. Dalam konteks RaaS, oknum memakai jasa BlackMatter sebagai sumber malware untuk disebar, lalu mendapatkan komisi dari korban yang menebus decryptor.

Decyrptor: Kunci untuk membuka data yang telah dienkripsi sehingga bisa diakses si pemilik data.

Sumber: Bleepingcomputer, Hostinger

Pembaruan Microsoft 365 Membuat Atasan Anda Dapat Melihat Aktivitas Browsing Anda

by

Microsoft sedang mempersiapkan beberapa pembaruan kecil yang dapat mengekang antusiasme karyawan yang melanggar aturan. Berita ini kembali datang dari layanan peta jalan Microsoft, di mana Redmond mempersiapkan Anda untuk kegembiraan yang akan datang.

“Pusat kepatuhan Microsoft 365: Manajemen risiko orang dalam — Peningkatan visibilitas di browser.”
Ini merupakan peta jalan untuk administrator. Ketika Anda memberikan “peningkatan visibilitas di browser” kepada administrator, hal tersebut merupakan peningkatan pengawasan terhadap apa yang diketik karyawan di browser tersebut.

Microsoft menargetkan “aktivitas berisiko.” Yang mungkin, memiliki semacam definisi. mereka menawarkan tautan ke pusat kepatuhannya, dimana kalimat pertama memiliki pelapor bawaan: “Browser web sering digunakan oleh pengguna untuk mengakses file sensitif dan non-sensitif dalam suatu organisasi.”

Dan apa yang dipantau oleh pusat kepatuhan? Mengapa, “file yang disalin ke penyimpanan cloud pribadi, file yang dicetak ke perangkat lokal atau jaringan, file yang ditransfer atau disalin ke jaringan berbagi, file yang disalin ke perangkat USB.”

Anda mungkin berasumsi bahwa ini masalahnya? Mungkin. Tapi sekarang akan ada peningkatan visibilitas secara misterius.

“Bagaimana visibilitas ini bisa ditingkatkan?,” Ada sedikit pembaruan peta jalan lain yang mungkin menawarkan petunjuk.

Microsoft menyatakan: “Pusat kepatuhan Microsoft 365: Manajemen risiko orang dalam — Pendeteksi ML baru.”

Perusahaan Anda akan segera memiliki robot ekstra-khusus untuk merangkak mengikuti dan mengamati setiap tindakan “berisiko” Anda. Meningkatkan visibilitas di browser tidaklah cukup, Anda juga harus memiliki Machine Learning yang terus-menerus waspada terhadap seseorang yang mengungkapkan jadwal makan siang Anda.

Microsoft menawarkan tautan ke halaman Manajemen Risiko Orang Dalam. “Pelanggan mengakui wawasan yang terkait dengan perilaku, karakter, atau kinerja pengguna individu yang secara material terkait dengan pekerjaan dapat dihitung oleh administrator dan tersedia bagi orang lain dalam organisasi.”

Semakin mudah bagi karyawan untuk berperilaku dengan cara yang sedikit jahat, maka harus ada keamanan untuk mencegah mereka melakukannya.
Semakin banyak kelemahan dunia maya, semakin seseorang mungkin ingin mengeksploitasinya.

Pada akhirnya, tentu saja, ini adalah representasi kecil lainnya dari kurangnya kepercayaan di antara manusia terutama antara manajemen dan karyawan. Semakin banyak perusahaan menurunkan perangkat lunak mata-mata kepada karyawan mereka terutama karyawan yang bekerja dari rumah maka semakin sedikit kepercayaan yang ada di antara mereka yang bekerja dan mereka yang mengelola.

Semakin banyak perusahaan ingin mengikuti setiap momen kehidupan kerja karyawan mereka dan bahkan kehidupan non-kerja maka akan semakin sedikit rasanya kita semua bersama-sama.

Microsoft 365 mengikuti Anda sekitar 365 hari setahun.

Selengkapnya : Microsoft will now snitch on you

AS Menargetkan Ransomware DarkSide dan Rebranding dengan Hadiah $10juta

by

Pemerintah AS menargetkan ransomware DarkSide dan rebranding dengan hadiah hingga $10.000.000 untuk informasi yang mengarah pada identifikasi atau penangkapan anggota operasi.

Departemen Luar Negeri AS hari ini mengumumkan bahwa mereka sekarang menawarkan hadiah $ 10.000.000 untuk identifikasi atau lokasi anggota ransomware DarkSide yang beroperasi di posisi kepemimpinan utama.

Hadiah sebesar $5.000.000 juga ditawarkan untuk informasi yang mengarah pada penangkapan setiap individu yang mencoba untuk berpartisipasi dalam serangan Darkside.

“Selain itu, Departemen juga menawarkan tawaran hadiah hingga $5.000.000 untuk informasi yang mengarah pada penangkapan dan/atau hukuman di negara mana pun dari individu mana pun yang berkonspirasi untuk berpartisipasi atau mencoba berpartisipasi dalam insiden ransomware varian DarkSide,” mengumumkan Departemen Luar Negeri.

Tips dapat dikirimkan ke FBI di https://tips.fbi.gov atau melalui WhatsApp, Telegram, dan Signal.

Saat pengumuman menyatakan “ransomware varian DarkSide,” hadiah ini juga akan berlaku untuk perubahan merek DarkSide, termasuk operasi BlackMatter terbaru geng ransomware.

Ketika operasi ransomware mulai merasakan panasnya penegakan hukum setelah menyerang organisasi yang sangat sensitif, biasanya mereka mengubah citra dengan nama yang berbeda.

DarkSide berganti nama menjadi BlackMatter setelah menyerang Colonial Pipeline dan merasakan pengawasan penuh dari penegakan hukum internasional.

Demikian pula, operasi ransomware lain juga telah berganti nama di masa lalu, termasuk:
-GandCrab ke REvil
-Labirin ke Egregor
-Bitpaymer ke DoppelPaymer ke Duka
-Nemty ke Nefilim ke Karma

Kamis (4/11/21) BleepingComputer melaporkan bahwa BlackMatter juga menutup operasi mereka setelah merasakan “tekanan dari pihak berwenang” dan anggota geng hilang.

Hadiah Departemen Luar Negeri hari ini di DarkSide dengan jelas menunjukkan bahwa beralih ke nama ransomware yang berbeda tidak akan menghentikan penegakan hukum untuk mengejar mereka.

Hadiah ini ditawarkan sebagai bagian dari Program Hadiah Kejahatan Terorganisir Transnasional (TOCRP) Departemen Luar Negeri.

Pemerintah AS juga menawarkan hadiah $ 10 juta untuk informasi tentang peretas yang disponsori negara yang menargetkan infrastruktur penting AS.

Dengan imbalan besar ini, pemerintah AS berharap para peretas akan saling menyerang dan mendapatkan pembayaran yang legal dan bebas stres.

sumber: Bleeping Computer

CISA Mendesak Vendor untuk Menyelesaikan Patch Bug BrakTooth

by

Para peneliti telah merilis kode eksploitasi publik dan alat bukti konsep untuk menguji perangkat Bluetooth terhadap bug keamanan System-on-a-Chip (SoC) yang berdampak pada beberapa vendor, termasuk Intel, Qualcomm, Texas Instruments, dan Cypress.

Secara kolektif dikenal sebagai BrakTooth, 16 kelemahan ini berdampak pada tumpukan Bluetooth komersial pada lebih dari 1.400 chipset yang digunakan di miliaran perangkat seperti smartphone, komputer, perangkat audio, mainan, perangkat IoT, dan peralatan industri.

Daftar perangkat dengan SoC yang rentan termasuk desktop dan laptop Dell, MacBook dan iPhone, beberapa model laptop Microsoft Surface, smartphone Sony dan Oppo, sistem infotainment Volo.

(Kamis, 4/11/21)CISA meminta vendor untuk menambal kerentanan ini setelah peneliti keamanan merilis bukti alat konsep untuk menguji perangkat Bluetooth terhadap eksploitasi BrakTooth.

federal agency juga mendorong produsen dan pengembang untuk meninjau rincian kerentanan yang diterbitkan oleh para peneliti pada bulan Agustus dan “memperbarui aplikasi Bluetooth System-on-a-Chip (SoC) yang rentan atau menerapkan solusi yang sesuai.”

Vendor Masih Mengerjakan Patch BrakTooth
Dampak yang terkait dengan bug BrakTooth adalah penolakan layanan (DoS) dengan merusak firmware perangkat atau membekukannya dengan memblokir komunikasi Bluetooth hingga eksekusi kode arbitrer yang dapat menyebabkan pengambilalihan total tergantung pada SoC rentan yang digunakan dalam target.

Pelaku ancaman yang mungkin ingin meluncurkan serangan BrakTooth hanya memerlukan papan ESP32 siap pakai yang harganya kurang dari $15, firmware Link Manager Protocol (LMP) kustom, dan komputer untuk menjalankan proof-of-concept (PoC) alat.

Sementara beberapa vendor telah mengeluarkan patch keamanan untuk mengatasi kerentanan BrakTooth, akan memakan waktu berbulan-bulan untuk menyebar ke semua perangkat yang belum ditambal.

Dalam kasus lain, vendor masih menyelidiki masalah, masih mengerjakan patch, atau belum mengumumkan status patch mereka.

Daftar vendor yang terkena dampak yang dilacak oleh peneliti dan status patch dapat ditemukan di tabel yang disematkan di bawah.

sumber: BLEEPING COMPUTER

Menerima Email Berisi Link Google Drive Misterius? Jangan Dibuka!

by Leave a Comment

Kampanye phishing baru mencari korban dengan mengirim supplier list palsu berisi ransomware MirCop yang meminta tebusan. Dapat mengenkripsi sistem target dalam waktu kurang dari lima belas menit.

Gambar Supplier List yang Diburamkan (sumber: bleeping computer)

Para pelaku memulai serangan dengan mengirimkan email yang tidak diminta korban. Email berisi gambar yang diburamkan dan link Google Drive yang dapat di klik.

Badan email berisi hyperlink ke URL Google Drive yang jika diklik akan mengunduh file MHT (arsip halaman web) ke perangkat korban.

Google Drive digunakan untuk memberikan legitimasi ke email dan sangat selaras dengan praktik pekerja sehari-hari.

Mereka yang membuka file tersebut hanya dapat melihat gambar buram dari apa yang seharusnya merupakan daftar pemasok, dicap dan ditandatangani untuk sentuhan legitimasi ekstra.

Ketika file MHT dibuka, itu akan mengunduh arsip RAR yang berisi pengunduh malware .NET dari “hXXps://a[.]pomf[.]cat/gectpe.rar”.

Arsip RAR berisi file EXE, yang menggunakan skrip VBS untuk menjatuhkan dan menjalankan muatan MirCop ke sistem yang terinfeksi.

Ransomware langsung aktif dan mulai mengambil tangkapan layar, mengunci file, mengubah latar belakang menjadi gambar bertema zombie yang mengerikan, dan menawarkan petunjuk kepada korban tentang apa yang harus dilakukan selanjutnya.

Menurut Cofense, seluruh proses ini memakan waktu kurang dari 15 menit sejak korban membuka email phishing.

Setelah itu, pengguna hanya diperbolehkan membuka browser web tertentu untuk berkomunikasi dengan pelaku dan mengatur pembayaran uang tebusan.

Para pelaku tidak tertarik untuk menyelinap ke dalam mesin korban secara sembunyi-sembunyi atau tinggal lama di sana untuk melakukan spionase dunia maya atau mencuri file untuk pemerasan.

Sebaliknya, serangan itu terjadi dengan cepat, dan sumber masalah menjadi jelas bagi korbannya

MicroCop adalah jenis ransomware lama yang digunakan untuk memberikan tuntutan tebusan yang tidak masuk akal kepada para korbannya.

Namun Michael Gillespie berhasil memecahkan enkripsinya dan merilis decryptor yang berfungsi secara gratis.

Bleeping Computer belum menguji apakah dekripsi lama itu berfungsi dengan muatan yang dijatuhkan di kampanye terbaru, tetapi ada kemungkinan bahwa itu masih dapat membuka kunci file.

Cofense mengatakan varian yang sama telah beredar sejak Juni tahun ini, jadi MicroCop masih ada di luar sana, dan orang harus berhati-hati dalam menangani email yang tidak diminta.

sumber: BLEEPING COMPUTER

Pengguna NPM Library ‘coa’ Siap-siap Ganti Sandi!

by

Jumat, 5 November 2021 NPM Library ‘coa’ dibajak, terdapat kode berbahaya yang berdampak pada pipeline React di seluruh dunia dipastikan kata sandi pengguna dicuri.

Library ‘coa’, kependekan dari Command-Option-Argument, menerima sekitar 9 juta unduhan mingguan di npm, dan digunakan oleh hampir 5 juta repositori open source di GitHub. Beberapa jam setelah penemuan ini, komponen npm lain yang umum digunakan ‘rc’ juga ditemukan telah dibajak. Pustaka ‘rc’ rata-rata mendapatkan 14 juta unduhan per minggu.

Kode Berbahaya Disuntikkan dalam Rilis ‘coa’
Hari ini, pengembang di seluruh dunia dibuat terkejut melihat rilis baru untuk npm library ‘coa’—proyek yang belum tersentuh selama bertahun-tahun, tiba-tiba muncul di npm. ‘coa’ adalah parser opsi baris perintah untuk proyek Node.js. Versi stabil terakhir 2.0.2 untuk proyek ini dirilis pada Desember 2018. Namun, beberapa versi mencurigakan 2.0.3, 2.0.4, 2.1.1, 2.1.3, dan 3.1.3 mulai muncul di npm beberapa jam yang lalu, merusak paket React yang bergantung pada ‘coa’.

“Saya tidak yakin mengapa atau apa yang terjadi tetapi 10 menit yang lalu ada rilis (meskipun perubahan terakhir di GitHub adalah pada 2018). Apa pun yang dilakukan rilis ini, itu merusak internet,” kata Roberto Wesley Overdijk, pengembang React. Pengguna GitHub lain dengan pegangan ElBidouilleur melihat salah satu dari versi ‘coa’ ini, 2.1.3 merusak build mereka:

Beberapa pengembang bergabung dalam diskusi, membenarkan mengalami masalah dengan build mereka sejak rilis ‘coa’ baru mencapai npm. Tak lama setelah menerbitkan bagian ini, BleepingComputer juga menemukan klaim bahwa perpustakaan npm populer lainnya, ‘rc’ juga dibajak, dengan versi jahat 1.2.9, 1.3.9, dan 2.3.9 muncul di npm.

Apa yang Harus Dilakukan Pengguna COA dan RC?
Sangat disarankan agar semua pengguna perpustakaan “coa” dan “rc” memeriksa proyek mereka untuk perangkat lunak berbahaya.

Periksa keberadaan compile.js, compile.bat, sdd.dll dan menghapus file jika ditemukan.

Karena varian “sdd.dll” ini juga telah diidentifikasi sebagai trojan di VirusTotal, dan yang dijatuhkan oleh “ua-parser-js” adalah pencuri kredensial, pengguna yang terinfeksi juga harus menganggap perangkat mereka sepenuhnya disusupi dan mengubah kata sandi, kunci , dan merefresh token, karena kemungkinan telah disusupi dan dikirim ke pelaku ancaman.

Sumber: BLEEPING COMPUTER

Eksploitasi Microsoft Exchange ProxyShell yang digunakan untuk menyebarkan ransomware Babuk

by

Aktor ancaman baru meretas server Microsoft Exchange dan menerobos jaringan perusahaan menggunakan kerentanan ProxyShell untuk menyebarkan Ransomware Babuk.

Serangan ProxyShell terhadap server Microsoft Exchange yang rentan dimulai beberapa bulan yang lalu, dengan LockFile dan Conti menjadi salah satu kelompok ransomware pertama yang mengeksploitasinya.

Menurut sebuah laporan oleh para peneliti di Cisco Talos, afiliasi ransomware Babuk yang dikenal sebagai ‘Tortilla’ telah bergabung dengan klub pada bulan Oktober, ketika aktor tersebut mulai menggunakan web shell ‘China Chopper’ di server Exchange yang dilanggar.

Nama Tortilla didasarkan pada executable berbahaya yang terlihat dalam kampanye menggunakan nama Tortilla.exe.

Dimulai dengan Exchange

Serangan ransomware Babuk dimulai dengan DLL, atau .NET executable yang dijatuhkan di server Exchange menggunakan kerentanan ProxyShell. Proses pekerja Exchange IIS w3wp.exe kemudian mengeksekusi muatan berbahaya ini untuk menjalankan perintah PowerShell yang dikaburkan yang menampilkan perlindungan titik akhir yang melewati, yang akhirnya menjalankan permintaan web untuk mengambil pemuat muatan bernama ‘tortilla.exe.’

Pemuat ini akan terhubung ke ‘pastebin.pl’ dan mengunduh muatan yang dimuat ke dalam memori dan disuntikkan ke dalam proses NET Framework, yang pada akhirnya mengenkripsi perangkat dengan Babuk Ransomware.

Infection chain diagram
Source: Cisco

Meskipun analis Cisco menemukan bukti eksploitasi kerentanan ProxyShell di sebagian besar merupakan infeksi, terutama web shell ‘China Chopper’, data telemetri mencerminkan spektrum luas dari upaya eksploitasi.

Lebih khusus lagi, Tortilla mengikuti jalur ini untuk menghapus modul DLL dan NET:

  • Microsoft Exchange menemukan upaya pemalsuan permintaan sisi server secara otomatis
  • Upaya eksekusi kode jarak jauh injeksi Atlassian Confluence OGNL
  • Upaya eksekusi kode jarak jauh Apache Struts
  • Akses wp-config.php WordPress melalui upaya traversal direktori
  • Upaya bypass otentikasi SolarWinds Orion
  • Upaya eksekusi perintah jarak jauh Oracle WebLogic Server
  • Upaya deserialisasi objek Java sewenang-wenang Liferay

Serangan ini bergantung pada kerentanan yang ditambal, maka sangat disarankan agar admin meningkatkan server mereka ke versi terbaru untuk mencegahnya dieksploitasi dalam serangan.

Menggunakan Babuk dalam serangan baru

Babuk Locker adalah operasi ransomware yang diluncurkan pada awal 2021 ketika mulai menargetkan bisnis dan mengenkripsi data mereka dalam serangan pemerasan ganda.

Setelah melakukan serangan terhadap Departemen Kepolisian Metropolitan (MPD) Washinton DC, dan merasakan panas dari penegakan hukum AS, geng ransomware menutup operasi mereka.

Setelah kode sumber untuk versi pertama Babu dan pembuatnya bocor di forum peretasan, pelaku ancaman lainnya mulai memanfaatkan ransomware untuk meluncurkan serangan mereka sendiri.

Tidak jelas apakah Tortilla adalah afiliasi dari Babuk saat RaaS aktif atau apakah mereka hanya mengambil kode sumber strain ketika keluar untuk melakukan serangan baru.

Namun, karena catatan tebusan yang digunakan dalam serangan ini meminta uang $10.000 yang rendah di Monero, kemungkinan itu tidak dilakukan oleh operasi Babuk yang asli, yang menuntut uang tebusan yang jauh lebih besar dalam Bitcoin.

Tortilla’s ransom note
Source: Cisco

Menargetkan AS

Meskipun peneliti Talos melihat beberapa serangan di Jerman, Thailand, Brasil, dan Inggris, sebagian besar target Tortilla berbasis di AS.

I.P. alamat server unduhan terletak di Moskow, Rusia, yang dapat menunjukkan asal serangan ini, tetapi tidak ada kesimpulan atribusi dalam laporan tersebut. Domain ‘pastebin.pl’ yang digunakan untuk tahap pembongkaran sebelumnya telah disalahgunakan oleh kampanye distribusi AgentTesla dan FormBook.

Victim heatmap
Source: Cisco

Meskipun decryptor sebelumnya dirilis untuk ransomware Babuk, ia hanya dapat mendekripsi korban yang kunci pribadinya merupakan bagian dari kebocoran kode sumber.

Oleh karena itu, pelaku ancaman dapat terus menggunakan ransomware Babuk untuk meluncurkan operasi mereka sendiri, seperti ypelaku ancaman Tortilla.

SUMBER : Bleeping Computer