Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Peretas mengadopsi toolkit Sliver sebagai alternatif Cobalt Strike

by

Pelaku ancaman membuang suite pengujian penetrasi Cobalt Strike demi kerangka kerja serupa yang kurang dikenal. Setelah Brute Ratel, kit lintas platform open-source yang disebut Sliver menjadi alternatif yang menarik.

Namun, aktivitas jahat menggunakan Sliver dapat dideteksi menggunakan kueri perburuan yang diambil dari analisis toolkit, cara kerjanya, dan komponennya.

Selama beberapa tahun terakhir, Cobalt Strike semakin populer sebagai alat serangan untuk berbagai pelaku ancaman, termasuk operasi ransomware, untuk menjatuhkan “suar” jaringan yang disusupi yang memungkinkan bergerak secara lateral ke sistem bernilai tinggi.

Karena para pembela HAM telah belajar untuk mendeteksi dan menghentikan serangan dengan mengandalkan toolkit ini, para peretas mencoba opsi lain yang dapat menghindari Endpoint Detection and Response (EDR) dan solusi antivirus.

Menghadapi pertahanan yang lebih kuat terhadap Cobalt Strike, aktor ancaman telah menemukan alternatif. Palo Alto Networks mengamati mereka beralih ke Brute Ratel, alat simulasi serangan permusuhan yang dirancang untuk menghindari produk keamanan.

Sebuah laporan dari Microsoft mencatat bahwa peretas, dari kelompok yang disponsori negara hingga geng kejahatan dunia maya, semakin banyak menggunakan alat pengujian keamanan Sliver berbasis Go yang dikembangkan oleh para peneliti di perusahaan keamanan siber BishopFox dalam serangan.

Satu grup yang mengadopsi Sliver dilacak sebagai DEV-0237 oleh Microsoft. Juga dikenal sebagai FIN12, geng tersebut telah dikaitkan dengan berbagai operator ransomware.

Geng telah mendistribusikan muatan ransomware dari berbagai operator ransomware di masa lalu (Ryuk, Conti, Hive, Conti, dan BlackCat) melalui berbagai malware, termasuk BazarLoader dan TrickBot.

Geng FIN12 menyebarkan berbagai muatan ransomware
sumber: Microsoft

Menurut laporan dari Government Communications Headquarters (GCHQ) Inggris, aktor yang disponsori negara di Rusia, khususnya APT29 (alias Cozy Bear, The Dukes, Grizzly Steppe) juga telah menggunakan Sliver untuk mempertahankan akses ke lingkungan yang disusupi.

Microsoft mencatat bahwa Sliver telah digunakan dalam serangan yang lebih baru menggunakan pemuat malware Bumblebee (Coldtrain), yang dikaitkan dengan sindikat Conti sebagai pengganti BazarLoader.

Microsoft menyediakan seperangkat taktik, teknik, dan prosedur (TTP) yang dapat digunakan para defender untuk mengidentifikasi Sliver dan kerangka kerja C2 lainnya yang muncul.

Karena jaringan Sliver C2 mendukung banyak protokol (DNS, HTTP/TLS, MTLS, TCP) dan menerima koneksi implan/operator, dan dapat meng-host file untuk meniru server web yang sah, pemburu ancaman dapat mengatur pendengar untuk mengidentifikasi anomali pada jaringan untuk Infrastruktur sliver.

Microsoft juga berbagi informasi tentang cara mendeteksi payload Sliver (shellcode, executable, shared library/DLL, dan layanan) yang dihasilkan menggunakan basis kode resmi yang tidak disesuaikan untuk kerangka kerja C2.

Insinyur deteksi dapat membuat deteksi khusus pemuat [mis. Bumblebee] atau, jika shellcode tidak di-obfuscate, aturan untuk payload shellcode yang disematkan di loader.

Untuk muatan malware Sliver yang tidak memiliki banyak konteks, Microsoft merekomendasikan untuk mengekstrak konfigurasi ketika dimuat ke dalam memori karena kerangka kerja harus menghilangkan penyamaran dan mendekripsinya agar dapat menggunakannya.

Memindai memori dapat memungkinkan peneliti untuk mengekstrak detail seperti data konfigurasi:

Ekstraksi konfigurasi dari implan uji Sliver
sumber: Microsoft

Pemburu ancaman juga dapat mencari perintah yang digunakan untuk injeksi proses, yang dicapai oleh kode Sliver default tanpa menyimpang dari implementasi umum. Di antara perintah yang digunakan untuk ini adalah:

  • migrasi (perintah) – migrasi ke proses jarak jauh
  • spawndll (perintah) – memuat dan menjalankan DLL reflektif dalam proses jarak jauh
  • sideload (perintah) – memuat dan menjalankan objek bersama (pustaka bersama/DLL) dalam proses jarak jauh
  • msf-inject (perintah) – menyuntikkan muatan Metasploit Framework ke dalam proses
  • execute-assembly (command) – memuat dan menjalankan .NET assembly dalam proses anak
  • getsystem (command) – memunculkan sesi Sliver baru sebagai Pengguna NT AUTHORITY\SYSTEM

      • Microsoft mencatat bahwa toolkit ini juga bergantung pada ekstensi dan alias (Beacon Object Files (BFO), aplikasi .NET, dan peralatan pihak ketiga lainnya) untuk injeksi perintah.

      Kerangka kerja ini juga menggunakan PsExect untuk menjalankan perintah yang memungkinkan gerakan lateral.

      Untuk mempermudah perusahaan yang dilindungi oleh Defender untuk mengidentifikasi aktivitas Sliver di lingkungan mereka, Microsoft telah membuat untuk perintah yang disebutkan di atas sekumpulan kueri berburu yang dapat dijalankan di portal Microsoft 365 Defender.

      Microsoft menggarisbawahi bahwa kumpulan aturan deteksi dan panduan berburu yang disediakan adalah untuk basis kode Sliver yang saat ini tersedia untuk umum. Penggunaan varian yang disesuaikan kemungkinan akan memengaruhi deteksi berdasarkan kueri Microsoft.

      Sumber: Bleeping Computer

    Geng ransomware LockBit menjadi agresif dengan taktik pemerasan tiga kali

    by

    Geng ransomware LockBit mengumumkan bahwa mereka meningkatkan pertahanan terhadap serangan denial-of-service (DDoS) terdistribusi dan bekerja untuk membawa operasi ke tingkat pemerasan tiga kali lipat.

    Geng baru-baru ini mengalami serangan DDoS, diduga atas nama raksasa keamanan digital Entrust, yang mencegah akses ke data yang dipublikasikan di situs kebocoran perusahaannya.

    Data dari Entrust dicuri oleh ransomware LockBit dalam serangan pada 18 Juni. Perusahaan mengkonfirmasi insiden tersebut dan memberitahu bahwa data telah dicuri.

    Entrust tidak membayar uang tebusan dan LockBit mengumumkan bahwa mereka akan mempublikasikan semua data yang dicuri pada 19 Agustus. Namun, ini tidak terjadi, karena situs kebocoran geng tersebut terkena serangan DDoS yang diyakini terhubung ke Entrust.

    Awal pekan ini, LockBitSupp, figur publik dari operasi ransomware LockBit, mengumumkan bahwa grup tersebut kembali berbisnis dengan infrastruktur yang lebih besar untuk memberikan akses ke kebocoran yang tidak terpengaruh oleh serangan DDoS.

    Serangan DDoS akhir pekan lalu yang menghentikan sementara kebocoran data Entrust dipandang sebagai peluang untuk mengeksplorasi taktik pemerasan rangkap tiga untuk menerapkan lebih banyak tekanan pada korban untuk membayar uang tebusan.

    LockBitSupp mengatakan bahwa operator ransomware sekarang ingin menambahkan DDoS sebagai taktik pemerasan selain mengenkripsi data dan membocorkannya.

    Geng juga berjanji untuk membagikan lebih dari 300GB data yang dicuri dari Entrust sehingga “seluruh dunia akan tahu rahasia Anda.”

    Juru bicara LockBit mengatakan bahwa mereka akan membagikan kebocoran data Entrust secara pribadi dengan siapa pun yang menghubungi mereka sebelum membuatnya tersedia melalui torrent.

    Tampaknya LockBit telah menepati janjinya dan merilis torrent akhir pekan ini yang disebut “entrust.com” dengan file 343GB.

    Lockbit ransomware bocor Entrust data
    sumber: Artie Yamamoto

    Operator ingin memastikan bahwa data Entrust tersedia dari berbagai sumber dan, selain mempublikasikannya di situs mereka, mereka juga membagikan torrent melalui setidaknya dua layanan penyimpanan file, dengan salah satunya tidak lagi tersedia.

    Salah satu metode yang sudah diterapkan untuk mencegah serangan DDoS lebih lanjut adalah dengan menggunakan tautan unik dalam catatan tebusan untuk para korban.

    Mereka juga mengumumkan peningkatan jumlah mirror dan server duplikat, dan rencana untuk meningkatkan ketersediaan data yang dicuri dengan membuatnya dapat diakses melalui clearnet juga, melalui layanan penyimpanan antipeluru.

    Lockbit ransomware changes after suffering DDoS attack
    source: BleepingComputer

    Operasi ransomware LockBit telah aktif selama hampir tiga tahun, sejak September 2019. Pada saat penulisan, situs kebocoran data LockBit aktif dan berjalan.

    Geng itu mendaftarkan lebih dari 700 korban dan Entrust adalah salah satunya, dengan data perusahaan bocor pada 27 Agustus.

    Sumber: Bleeping Computer

    Sistem pengembang LastPass diretas untuk mencuri kode sumber

    by

    Perusahaan pengelola kata sandi LastPass diretas dua minggu lalu, memungkinkan pelaku ancaman mencuri kode sumber dan informasi teknis milik perusahaan.

    Sumber mengatakan bahwa karyawan berebut untuk menahan serangan setelah LastPass dilanggar.

    Setelah mengirimkan pertanyaan tentang serangan itu, LastPass merilis peringatan keamanan hari ini yang mengonfirmasi bahwa itu dilanggar melalui akun pengembang yang disusupi yang digunakan peretas untuk mengakses lingkungan pengembang perusahaan.

    Sementara LastPass mengatakan tidak ada bukti bahwa data pelanggan atau brankas kata sandi terenkripsi telah disusupi, pelaku ancaman memang mencuri bagian dari kode sumber mereka dan “informasi teknis hak milik LastPass.”

    LastPass belum memberikan perincian lebih lanjut mengenai serangan itu, bagaimana pelaku ancaman menyusup ke akun pengembang, dan kode sumber apa yang dicuri.

    Penasihat keamanan LastPass dikirim melalui email ke pelanggan

    LastPass adalah salah satu perusahaan pengelola kata sandi terbesar di dunia, mengklaim telah digunakan oleh lebih dari 33 juta orang dan 100.000 bisnis.

    Karena konsumen dan bisnis menggunakan perangkat lunak perusahaan untuk menyimpan kata sandi mereka dengan aman, selalu ada kekhawatiran bahwa jika perusahaan diretas, itu dapat memungkinkan pelaku ancaman mengakses kata sandi yang disimpan.

    Namun, LastPass menyimpan kata sandi di ‘lemari terenkripsi’ yang hanya dapat didekripsi menggunakan kata sandi utama pelanggan, yang menurut LastPass tidak dikompromikan dalam serangan siber ini.

    Tahun lalu, LastPass mengalami serangan isian kredensial yang memungkinkan pelaku ancaman mengonfirmasi kata sandi utama pengguna. Juga terungkap bahwa kata sandi master LastPass dicuri oleh pelaku ancaman yang mendistribusikan malware pencuri kata sandi RedLine.

    Karena itu, sangat penting untuk mengaktifkan otentikasi multi-faktor pada akun LastPass Anda sehingga pelaku ancaman tidak akan dapat mengakses akun Anda meskipun kata sandi Anda disusupi.

    Sumber: Bleeping Computer

    Peretas menyalahgunakan sistem anti-cheat Genshin Impact untuk menonaktifkan antivirus

    by

    Peretas menyalahgunakan driver sistem anti-cheat untuk game Genshin Impact yang sangat populer untuk menonaktifkan perangkat lunak antivirus saat melakukan serangan ransomware.

    Driver/modul, “mhypro2.sys,” tidak memerlukan sistem target untuk menginstal game, dan dapat beroperasi secara independen atau bahkan tertanam dalam malware, menawarkan kerentanan kuat kepada pelaku ancaman yang dapat menonaktifkan perangkat lunak keamanan.

    Driver yang rentan telah dikenal sejak tahun 2020 dan memberikan akses ke memori proses/kernel apa pun dan kemampuan untuk menghentikan proses menggunakan hak istimewa tertinggi.

    Peneliti melaporkan masalah ini ke vendor beberapa kali di masa lalu. Namun, sertifikat penandatanganan kode belum dicabut, sehingga program masih dapat diinstal pada Windows tanpa menimbulkan alarm apa pun.

    Lebih buruk lagi, setidaknya ada dua eksploitasi proof-of-concept [1, 2] di GitHub sejak 2020, dengan detail lengkap tentang cara membaca/menulis memori kernel dengan hak istimewa mode kernel dari mode pengguna, menghitung utas, dan mengakhiri proses.

    Dalam laporan baru oleh Trend Micro, para peneliti telah melihat bukti pelaku ancaman menyalahgunakan driver ini sejak akhir Juli 2022, dengan pelaku ransomware menggunakannya untuk menonaktifkan solusi perlindungan titik akhir yang dikonfigurasi dengan benar.

    Pelaku ancaman menggunakan ‘secretsdump’ dan ‘wmiexec’ terhadap titik akhir yang ditargetkan dan kemudian terhubung ke pengontrol domain melalui RDP menggunakan kredensial admin yang diambil.

    Tindakan pertama yang diambil pada mesin yang disusupi adalah mentransfer mhyprot2.sys ke desktop bersama dengan ‘kill_svc.exe’ yang dapat dieksekusi, yang digunakan untuk menginstal driver.

    Selanjutnya, penyusup menjatuhkan ‘avg.msi’, yang pada gilirannya menjatuhkan dan mengeksekusi empat file berikut:

    • logon.bat – Sebuah file batch yang mengeksekusi HelpPane.exe, membunuh antivirus dan layanan lainnya, dan mengeksekusi svchost.exe
    • HelpPane.exe – File berbahaya yang menyamar sebagai Bantuan dan Dukungan Microsoft yang dapat dieksekusi; mirip dengan kill_svc.exe, ia menginstal mhyprot2.sys dan mematikan layanan antivirus
    • mhyprot2.sys – Driver anti-cheat Genshin Impact yang rentan
    • svchost.exe – Payload ransomware

    Trend Micro berkomentar bahwa pelaku ancaman mencoba dan gagal tiga kali untuk mengenkripsi file di workstation yang diserang, tetapi layanan antivirus berhasil dinonaktifkan. Akhirnya, musuh memindahkan “logon.bat” di desktop dan mengeksekusinya secara manual, yang berhasil.

    Peluncuran manual HelpPane.exe (Trend Micro)

    Terakhir, pelaku ancaman memuat driver, ransomware, dan ‘kill_svc.exe’ yang dapat dieksekusi pada jaringan berbagi untuk penyebaran massal, yang bermaksud menginfeksi lebih banyak workstation.

    Ikhtisar serangan aktor Ransomware (Trend Micro)

    Trend Micro memperingatkan bahwa penyebaran modul anti-cheat oleh peretas dapat meningkat, karena bahkan jika vendor merespons dan memperbaiki kekurangannya, versi lama akan terus beredar.

    Riset keamanan Kevin Beaumont menyarankan agar admin dapat mempertahankan diri dari ancaman ini dengan memblokir hash “0466e90bf0e83b776ca8716e01d35a8a2e5f96d3” pada solusi keamanan mereka, yang sesuai dengan driver mhypro2.sys yang rentan.

    Terakhir, pembela harus memantau log peristiwa untuk instalasi layanan tertentu, bernama “mhyprot2.”

    Sumber: Bleeping Computer

    Bagaimana peretas ‘Kimsuky’ memastikan malware mereka hanya mencapai target yang valid

    by

    Aktor ancaman ‘Kimsuky’ Korea Utara akan berusaha keras untuk memastikan bahwa muatan berbahaya mereka hanya diunduh oleh target yang valid dan bukan pada sistem peneliti keamanan.

    Menurut laporan Kaspersky yang diterbitkan hari ini, kelompok ancaman telah menggunakan teknik baru untuk menyaring permintaan unduhan yang tidak valid sejak awal tahun 2022, ketika kelompok tersebut meluncurkan kampanye baru terhadap berbagai target di semenanjung Korea.

    Perlindungan baru yang diterapkan oleh Kimsuky sangat efektif sehingga Kaspersky melaporkan ketidakmampuan untuk memperoleh muatan akhir bahkan setelah berhasil terhubung ke server perintah dan kontrol pelaku ancaman.

    Serangan yang ditemukan oleh Kaspersky dimulai dengan email phishing yang dikirim ke politisi, diplomat, profesor universitas, dan jurnalis di Korea Utara dan Selatan.

    Kaspersky dapat mengkompilasi daftar target potensial berkat skrip C2 yang diambil yang berisi sebagian alamat email target.

    Target potensial yang diturunkan oleh Kaspersky

    Email berisi tautan yang membawa korban ke server C2 tahap pertama yang memeriksa dan memverifikasi beberapa parameter sebelum mengirimkan dokumen berbahaya. Jika pengunjung tidak cocok dengan daftar target, mereka akan disuguhi dokumen yang tidak berbahaya.

    Parameter termasuk alamat email pengunjung, OS (Windows valid), dan file “[who].txt” yang dijatuhkan oleh server tahap kedua.

    Pada saat yang sama, alamat IP pengunjung diteruskan ke server C2 tahap kedua sebagai parameter pemeriksaan berikutnya.

    Dokumen yang dijatuhkan oleh C2 tahap pertama berisi makro berbahaya yang menghubungkan korban ke C2 tahap kedua, mengambil muatan tahap berikutnya, dan menjalankannya dengan proses mshta.exe.

    Beberapa dokumen dikirim ke target (Kaspersky)

    Payload adalah file .HTA yang juga membuat tugas terjadwal untuk eksekusi otomatis. Fungsinya untuk profil korban dengan memeriksa jalur folder ProgramFiles, nama AV, nama pengguna, versi OS, versi MS Office, versi .NET framework, dan banyak lagi.

    Hasil sidik jari disimpan dalam string (“chnome”), salinan dikirim ke C2, dan muatan baru diambil dan didaftarkan dengan mekanisme persistensi.

    Payload berikutnya adalah file VBS yang dapat membawa korban ke blog yang sah atau, jika targetnya valid, bawa mereka ke fase download payload berikutnya.

    Ini adalah saat sistem korban diperiksa untuk keberadaan string “chnome” yang tidak biasa, yang sengaja salah eja untuk berfungsi sebagai validator unik yang masih tidak menimbulkan kecurigaan.

    Proses infeksi terbaru Kimsuky (Kaspersky)

    Sayangnya, Kaspersky tidak dapat melanjutkan dari sini dan mengambil payload tahap berikutnya, jadi apakah itu akan menjadi yang terakhir atau jika ada sebagian besar langkah validasi masih belum diketahui.

    Kimsuky adalah aktor ancaman yang sangat canggih yang baru-baru ini terlihat menyebarkan malware khusus dan menggunakan ekstensi Google Chrome untuk mencuri email dari korban.

    Kampanye yang disorot oleh Kaspersky menggambarkan teknik rumit yang digunakan oleh peretas Korea untuk menghalangi analisis dan membuat pelacakan mereka jauh lebih sulit.

    Sumber:

    Baidu China Meluncurkan Komputer Quantum 10-Qubit

    by

    Perusahaan China Baidu telah meluncurkan komputer kuantum superkonduktor pertamanya yang disebut “Qian Shi,” yang diklaim sebagai “solusi integrasi perangkat keras-perangkat lunak kuantum semua platform” pertama di dunia dan sudah tersedia untuk digunakan oleh publik.

    Komputer kuantum 10-qubit (Buka di jendela baru) terungkap pada konferensi Quantum Create 2022 di Beijing, dan menggabungkan perangkat keras Baidu, tumpukan perangkat lunak (disebut Liang Xi), dan sejumlah “aplikasi kuantum praktis.” Perusahaan juga menunjukkan bahwa komputer kuantum lain yang tersedia secara komersial saat ini hanya menawarkan hingga 7 qubit kinerja.

    Baidu mungkin paling dikenal dengan mesin pencarinya, tetapi percaya bahwa komputer kuantumnya dapat membantu perkembangan pesat kecerdasan buatan, biologi komputasi, simulasi material, dan teknologi keuangan.

    Aplikasi yang sudah ada termasuk algoritma kuantum untuk pengembangan baterai lithium baru dan simulasi pelipatan protein.

    AS Menambahkan 8 Organisasi Komputasi Kuantum China ke Daftar Entitas
    Pemain lain di bidang ini sedang mengerjakan komputer kuantum yang jauh lebih kuat saat ini. Fujitsu akan mulai menjual mesin 64-qubit pada tahun 2023, dan kemudian mesin 1.000-qubit setelah Maret 2027.

    Google sudah memiliki komputer kuantum 53-qubit di labnya, dan IBM mendemonstrasikan mesin 127-qubit tahun lalu. Namun, IBM bertujuan untuk mencapai lebih dari 4.000 qubit pada tahun 2025. Sementara itu, Baidu sekarang sedang mengerjakan chip kuantum 36-quibit.

    Sumber: PC MAG

    Microsoft Mengungkap Malware Post-Compromise Baru yang Digunakan oleh Peretas Nobelium

    by

    Aktor ancaman di balik serangan rantai pasokan SolarWinds telah dikaitkan dengan malware pasca-eksploitasi “sangat bertarget” lainnya yang dapat digunakan untuk mempertahankan akses terus-menerus ke lingkungan yang disusupi.

    Dijuluki MagicWeb oleh tim intelijen ancaman Microsoft, pengembangan ini menegaskan kembali komitmen Nobelium untuk mengembangkan dan memelihara kemampuan yang dibangun untuk tujuan tertentu.

    Nobelium adalah moniker raksasa teknologi untuk sekelompok aktivitas yang terungkap dengan serangan canggih yang menargetkan SolarWinds pada Desember 2020, dan yang tumpang tindih dengan kelompok peretasan negara-bangsa Rusia yang dikenal luas sebagai APT29, Cozy Bear, atau The Dukes.

    MagicWeb, yang memiliki kesamaan dengan alat lain yang disebut FoggyWeb, dinilai telah digunakan untuk mempertahankan akses dan mencegah penggusuran selama upaya perbaikan, tetapi hanya setelah memperoleh akses yang sangat istimewa ke lingkungan dan bergerak secara lateral ke server AD FS.

    Sementara FoggyWeb hadir dengan kemampuan khusus untuk mengirimkan muatan tambahan dan mencuri informasi sensitif dari server Active Directory Federation Services (AD FS), MagicWeb adalah DLL jahat (versi backdoor dari “Microsoft.IdentityServer.Diagnostics.dll”) yang memfasilitasi akses rahasia ke sistem AD FS melalui bypass otentikasi.

    Temuan ini muncul setelah pengungkapan kampanye yang dipimpin APT29 yang ditujukan pada organisasi yang berafiliasi dengan NATO dengan tujuan mengakses informasi kebijakan luar negeri.

    Secara khusus, ini memerlukan penonaktifan fitur pencatatan perusahaan yang disebut Purview Audit (sebelumnya Audit Lanjutan) untuk mengumpulkan email dari akun Microsoft 365. “APT29 terus menunjukkan keamanan operasional dan taktik penghindaran yang luar biasa,” kata Mandiant.

    Taktik lain yang lebih baru yang digunakan oleh aktor dalam operasi baru-baru ini adalah penggunaan serangan menebak kata sandi untuk mendapatkan kredensial yang terkait dengan akun yang tidak aktif dan mendaftarkannya untuk otentikasi multi-faktor, memberinya akses ke infrastruktur VPN organisasi.

    APT29 tetap menjadi kelompok ancaman yang produktif seperti halnya terampil. Bulan lalu, Palo Alto Networks Unit 42 menandai kampanye phishing yang memanfaatkan layanan penyimpanan cloud Dropbox dan Google Drive untuk penyebaran malware dan tindakan pasca-kompromi lainnya.

    Sumber :The Hackernews

    Geng pemerasan ‘Donut Leaks’ terkait dengan serangan ransomware baru-baru ini

    by

    Grup pemerasan data baru bernama ‘Donut Leaks’ terkait dengan serangan siber baru-baru ini, termasuk yang terjadi pada perusahaan gas alam Yunani DESFA, firma arsitektur Inggris Sheppard Robson, dan perusahaan konstruksi multinasional Sando.

    Selama akhir pekan, DESFA mengonfirmasi bahwa mereka mengalami serangan siber setelah Ragnar Locker membocorkan tangkapan layar dari data yang diduga dicuri.

    Awal bulan ini, Sheppard Robson mengungkapkan serangan ransomware dan upaya pemerasan tetapi tidak memberikan rincian tentang siapa yang meretas jaringannya.

    Terakhir, Hive Ransomware mengklaim bulan lalu telah menyerang Sando tetapi hanya merilis arsip kecil file sebagai ‘bukti’ serangan tersebut.

    Anehnya, data para korban tersebut kini telah muncul di situs kebocoran data geng pemerasan yang sebelumnya tidak dikenal bernama Donut Leaks. Selain itu, data yang dibagikan di situs Donut Leaks jauh lebih luas daripada yang dibagikan di situs ransomware, yang menunjukkan bahwa aktor ancaman baru ini terlibat dalam serangan tersebut.

    Siapa Kebocoran Donat?
    BleepingComputer pertama kali mengetahui kelompok pemerasan Donut Leaks dari seorang karyawan salah satu korban, yang memberi tahu kami bahwa pelaku ancaman melanggar jaringan perusahaan untuk mencuri data.

    Setelah pelaku ancaman selesai mencuri data, mereka mengirim email berisi URL situs pemerasan Tor ke mitra bisnis dan karyawan korban.

    Situs Tor ini terdiri dari blog yang mempermalukan dan situs penyimpanan data yang memungkinkan pengunjung menelusuri dan mengunduh semua data yang dicuri dan bocor.

    Blog tersebut berisi entri untuk lima korban, dengan semua kecuali satu berisi deskripsi umum perusahaan dan tautan ke data curian mereka.

    Namun, untuk salah satu entri, pelaku ancaman tampaknya mengambil pendekatan yang lebih agresif, berbagi foto pesta Natal yang dicuri dan kata-kata kasar yang panjang terhadap perusahaan.

    Situs kebocoran data Kebocoran Donat
    Sumber: BleepingComputer

    Server penyimpanan data curian menjalankan aplikasi File Browser, yang memungkinkan pengunjung menelusuri semua data curian yang disimpan di server, yang dipecah oleh korban.

    Meskipun hanya ada lima korban yang terdaftar di situs yang mempermalukan, server penyimpanan berisi apa yang tampaknya menjadi sepuluh korban.

    Seperti yang Anda lihat di bawah, tiga korban terkait dengan serangan baru-baru ini yang diungkapkan oleh Sheppard Robson dan DESFA, dengan Sando sebelumnya diklaim oleh Hive. BleepingComputer telah menyunting nama-nama perusahaan lain karena mereka belum mengumumkan bahwa mereka mengalami serangan siber.

    Menurut statistik File Browser, pelaku ancaman telah membocorkan sekitar 2,8 TB data curian dari sepuluh korban ini.

    Tidak diketahui apakah pelaku ancaman menyebarkan ransomware ketika melanggar jaringan atau hanya kelompok pemerasan data.

    Namun, Sheppard Robson mengungkapkan bahwa serangan terbaru mereka adalah serangan ransomware.

    Selanjutnya, dua operasi ransomware yang berbeda mengklaim bertanggung jawab atas DESFA (Ragnar Locker) dan SANDO (Hive).

    Ini kemungkinan berarti bahwa aktor ancaman yang menjalankan Donut Leaks adalah penguji pena atau afiliasi untuk Hive, Ragnar Locker, dan mungkin operasi ransomware lainnya.

    Dalam percakapan sebelumnya dengan ‘pentesters’ untuk Ragnar Locker, pelaku ancaman memberi tahu kami bahwa mereka bekerja untuk beberapa operasi Ransomware-as-a-Service untuk menyediakan akses afiliasi ke jaringan internal. Dalam beberapa kasus, pentester ini akan mencuri data dan menyimpannya sendiri jika mereka merasa bahwa data tersebut memiliki nilai.

    Kelompok pemerasan baru ini menggambarkan bagaimana data curian sampai ke tangan banyak kelompok, dengan masing-masing mencoba metodenya sendiri untuk memeras korban.

    Ini juga menunjukkan bahwa membayar permintaan tebusan mungkin tidak selalu mencegah kebocoran data Anda dan masih dapat menyebabkan tuntutan pemerasan lebih lanjut.

    Sumber: Bleeping Computer