Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Data Breach

Data Breach

Geng peretas masuk ke pembuat chip Silicon Valley AMD karena kata sandi pekerja yang mengerikan

by

Sebuah pembangkit tenaga listrik teknologi Silicon Valley dilaporkan menghadapi pelanggaran data, sebagian, karena penggunaan kata sandi yang mengerikan oleh karyawan seperti, eh, “kata sandi” dan “123456.”

AMD, produsen microchip yang berkantor pusat di Santa Clara, menjadi mangsa kru peretas yang semakin terkenal yang dikenal sebagai RansomHouse, menurut laporan oleh TechCrunch dan Restore Privacy.

Raksasa semikonduktor mengkonfirmasi pembobolan digital dalam sebuah pernyataan kepada media. “Pada 27 Juni, kami mengetahui bahwa organisasi penjahat dunia maya dengan nama RansomHouse mengklaim memiliki data yang dicuri dari AMD,” bunyi pernyataan yang dikirim ke SFGATE pada Kamis pagi. “Kami sedang menyelidiki klaim tersebut dan sedang melakukan kontak dengan petugas penegak hukum.”

Perusahaan tidak menjawab ketika ditanya mengapa karyawan di pabrik multinasional tidak tunduk pada aturan perlindungan kata sandi standar, seperti mengubah kata sandi secara teratur atau harus memasukkan angka dan simbol di dalam kata sandi.

“Sayang sekali itu adalah kata sandi asli yang digunakan oleh karyawan AMD, tetapi yang lebih memalukan bagi Departemen Keamanan AMD yang mendapat pembiayaan signifikan sesuai dengan dokumen yang kami dapatkan — semua berkat kata sandi ini,” sebuah catatan yang diterbitkan oleh RansomHouse berbunyi, menurut TechCrunch.

Produsen microchip Silicon Valley telah lama menjadi saingan utama Intel di pasar CPU; itu seharusnya memiliki beberapa kemiripan keamanan kata sandi mengingat perawakannya.

Christofer Hoff, seorang eksekutif di layanan pengelola kata sandi LastPass, mengatakan kepada SFGATE bahwa pelanggaran seperti ini “mudah dihindari bahkan jika aturan kebersihan dan keamanan yang paling dasar diikuti.”

Tampaknya juga lebih banyak pelanggaran ini sedang dalam proses. RansomHouse telah mendapatkan reputasi untuk menargetkan organisasi besar, membocorkan data dari salah satu pedagang grosir terbesar di Afrika dan agen pemerintah Kanada sejak akhir tahun lalu.

Sumber:

Peretas iCloud mendapat 9 tahun penjara karena mencuri foto telanjang

by

Seorang pria California yang meretas ribuan akun Apple iCloud dijatuhi hukuman 8 tahun penjara setelah mengaku bersalah atas konspirasi dan penipuan komputer pada Oktober 2021.

Sejak awal September 2014, Hao Kuo Chi, 41 tahun dari La Puente, California, mulai memasarkan dirinya sebagai “icloudripper4you,” seseorang yang mampu membobol akun iCloud dan mencuri apa pun yang ada di penyimpanan iCloud yang ditautkan (dalam apa yang dia sebut sebagai “merobek”).

“Pria ini memimpin kampanye teror dari komputernya, menyebabkan ketakutan dan penderitaan bagi ratusan korban,” kata agen FBI David Walker.

Untuk mengkompromikan akun yang ditargetkan, Chi menggunakan email yang memungkinkannya untuk menyamar sebagai perwakilan dukungan pelanggan Apple dan menipu target agar menyerahkan ID dan kata sandi Apple mereka, menurut dokumen pengadilan.

Setelah mengkompromikan akun iCloud, dia akan mencari dan mencuri foto dan video telanjang dari penyimpanan online korban (disebut sebagai “wins”), membaginya dengan konspirator yang kemudian menerbitkannya secara online.

Chi juga membagikan beberapa foto dan video kompromi di situs porno balas dendam yang sekarang sudah tidak berfungsi (Anon-IB) tanpa persetujuan korbannya dan bermaksud “untuk mengintimidasi, melecehkan, atau mempermalukan.”

Sampai tertangkap, Chi memperoleh akses tidak sah ke ratusan akun iCloud target dari seluruh Amerika Serikat, termasuk Arizona, California, Florida, Kentucky, Louisiana, Maine, Massachusetts, Ohio, Pennsylvania, Carolina Selatan, dan Texas.

“Akun email Chi berisi kredensial iCloud dari sekitar 4.700 korban. Akun ini juga mengungkapkan bahwa dia telah mengirim konten yang dicuri dari korban ke konspirator lebih dari 300 kali,” ungkap Departemen Kehakiman hari ini.

Dia menyimpan 3,5 terabyte konten curian dari lebih dari 500 korban di cloud dan penyimpanan fisik, dengan sekitar 1 terabyte penyimpanan cloud didedikasikan untuk foto dan video telanjang yang dicuri.

“Chi mengorbankan ratusan wanita di seluruh negeri, membuat mereka takut akan keselamatan dan reputasi mereka,” kata Jaksa AS Roger Handberg.

Sumber: Bleeping Computer

Ratusan database Elasticsearch ditargetkan dalam serangan tebusan

by

Peretas telah menargetkan basis data Elasticsearch yang tidak aman dan mengganti 450 indeks dengan catatan tebusan yang meminta $620 untuk memulihkan konten, dengan total permintaan $279.000.

Pelaku ancaman menetapkan tenggat waktu tujuh hari untuk pembayaran dan mengancam akan melipatgandakan permintaan setelah itu. Jika satu minggu lagi berlalu tanpa dibayar, mereka mengatakan korban akan kehilangan indeks.

Mereka yang membayar sejumlah itu dijanjikan tautan unduhan ke dump basis data mereka yang konon akan membantu memulihkan struktur data ke bentuk aslinya dengan cepat.

Kampanye ini ditemukan oleh analis ancaman di Secureworks, yang mengidentifikasi lebih dari 450 permintaan individu untuk pembayaran tebusan.

Menurut Secureworks, pelaku ancaman menggunakan skrip otomatis untuk mengurai basis data yang tidak dilindungi, menghapus data mereka, dan menambahkan uang tebusan, sehingga tampaknya tidak ada keterlibatan manual dalam operasi ini.

Catatan tebusan dijatuhkan pada basis data yang dihapus (Secureworks)

Kampanye ini bukanlah hal baru, dan kami telah melihat serangan oportunistik serupa beberapa kali sebelumnya, dan juga terhadap sistem manajemen basis data lainnya [1, 2, 3].

Memulihkan konten basis data dengan membayar peretas adalah skenario yang tidak mungkin, karena tantangan praktis dan finansial bagi penyerang untuk menyimpan data dari begitu banyak basis data tidak mungkin dilakukan.

Sebaliknya, pelaku ancaman hanya menghapus isi dari database yang tidak dilindungi dan meninggalkan catatan tebusan, berharap korban akan percaya klaim mereka. Sejauh ini, salah satu alamat dompet Bitcoin yang terlihat di catatan tebusan telah menerima satu pembayaran.

Salah satu alamat Bitcoin yang digunakan dalam kampanye (Blockchain.com)

Namun, bagi pemilik data, jika mereka tidak melakukan pencadangan rutin, kehilangan segalanya dari penghapusan semacam itu kemungkinan besar akan menyebabkan kerugian finansial yang signifikan.

Beberapa dari basis data ini mendukung layanan online, jadi selalu ada risiko gangguan bisnis yang dapat menghabiskan biaya lebih banyak daripada jumlah kecil yang diminta oleh para penjahat.

Selain itu, organisasi tidak boleh mengecualikan kemungkinan bahwa penyusup mencuri data untuk memonetisasinya dengan berbagai cara.

Sayangnya, selama database terbuka di depan publik internet tanpa mengamankannya dengan benar, serangan oportunistik ini akan terus menargetkan mereka.

Laporan terbaru oleh Group-IB menunjukkan bahwa lebih dari 100.000 instans Elasticsearch ditemukan terpapar di web pada tahun 2021, terhitung sekitar 30% dari total 308.000 database yang terpapar pada tahun 2021.

Jumlah total database yang terpapar yang terdeteksi dari awal tahun 2021 (Group-IB)

Menurut laporan yang sama, admin basis data membutuhkan rata-rata 170 hari untuk menyadari bahwa mereka telah melakukan kesalahan konfigurasi, menyisakan banyak waktu bagi pelaku jahat untuk melakukan serangan.

Seperti yang digarisbawahi oleh Secureworks, tidak ada database yang boleh dilihat oleh publik kecuali jika penting untuk peran mereka. Selain itu, jika akses jarak jauh diperlukan, admin harus mengatur otentikasi multi-faktor untuk pengguna yang berwenang dan membatasi akses hanya untuk individu yang relevan.

Organisasi yang mengalihdayakan layanan ini ke penyedia cloud harus memastikan bahwa kebijakan keamanan vendor kompatibel dengan standar mereka dan bahwa semua data terlindungi secara memadai.

Sumber: Bleeping Computer

Pelacak web pihak ketiga mencatat apa yang Anda ketik sebelum mengirimkan

by

Sebuah studi ekstensif yang melihat situs web peringkat 100k teratas telah mengungkapkan bahwa banyak yang membocorkan informasi yang Anda masukkan dalam formulir situs ke pelacak pihak ketiga bahkan sebelum Anda menekan kirim.

Data yang bocor ini mencakup pengenal pribadi, alamat email, nama pengguna, kata sandi, atau bahkan pesan yang dimasukkan ke dalam formulir dan kemudian dihapus dan tidak pernah benar-benar dikirimkan.

Kebocoran data ini licik karena pengguna internet secara otomatis berasumsi bahwa informasi yang mereka ketik di situs web tidak disimpan sampai mereka mengirimkannya, tetapi untuk hampir 3% dari semua situs yang diuji, ini tidak terjadi.

Penelitian dilakukan oleh peneliti universitas yang menggunakan crawler berbasis alat DuckDuckGo Tracker Radar Collector untuk memantau aktivitas eksfiltrasi.

Perayap dilengkapi dengan pengklasifikasi pembelajaran mesin yang telah dilatih sebelumnya yang mendeteksi bidang email dan kata sandi dan mencegat akses skrip ke bidang tersebut.

Diagram fungsi perayap (GitHub)

Para peneliti menguji 2,8 juta halaman di 100.000 situs dengan peringkat tertinggi di dunia dan menemukan bahwa 1.844 situs web memungkinkan pelacak mengeksfiltrasi alamat email sebelum dikirimkan saat dikunjungi dari Eropa.

Namun, ketika mengunjungi situs web yang sama dari AS, jumlah situs yang mengumpulkan informasi sebelum diserahkan melonjak menjadi 2.950.

Akhirnya, peneliti menentukan 52 situs web untuk mengumpulkan kata sandi dengan cara yang sama, tetapi semuanya mengatasi masalah tersebut setelah menerima laporan peneliti.

Tujuan pelacak situs web adalah untuk memantau aktivitas pengunjung, memperoleh titik data yang terkait dengan preferensi, mencatat interaksi, dan mempertahankan ID anonim (secara teoritis) persisten untuk setiap pengguna.

Situs tersebut menggunakan pelacak untuk memberikan pengalaman online yang lebih dipersonalisasi kepada penggunanya, tetapi mereka juga mengizinkan pelacak pihak ketiga untuk membantu pengiklan menayangkan iklan bertarget kepada pengunjung mereka dan meningkatkan keuntungan moneter.

Situs teratas menggunakan pelacak bocor (kuleuven.be)

Banyak dari pelacak pihak ketiga ini menggunakan skrip yang memantau penekanan tombol saat berada di dalam formulir, dan menyimpan konten, bahkan sebelum pengguna menekan tombol kirim

Dampak nyata dari memasukkan data pada formulir yang dicatat adalah kehilangan anonimitas pelacak, dan pada saat yang sama, risiko privasi dan keamanan muncul.

Data yang dikumpulkan oleh peneliti universitas menunjukkan bahwa masalahnya berasal dari sejumlah kecil pelacak yang lazim di web.

Misalnya, pelacak LiveRamp ditemukan di 662 situs yang alamat emailnya dicatat, Taboola ada di 383, Verizon mengumpulkan data dari 255 situs, dan Adobe’s Bizible berjalan di 191 situs.

Pelacak third party dan pemiliknya (kuleuven.be)

Dalam kategori perampasan kata sandi, Yandex berada di puncak daftar dengan jumlah kasus terkonfirmasi tertinggi.

Setengah dari pihak pertama dan ketiga yang terdaftar telah menanggapi para peneliti dengan komentar dan penjelasan, yang menghubungkan pengumpulan dengan kesalahan.

Perbedaan antara statistik UE dan AS dikaitkan dengan keberadaan GDPR, konteks peraturan hukum untuk melindungi data pribadi pengguna internet UE yang diproses oleh entitas online.

Kasus kepatuhan di sini tergantung pada pengungkapan pengumpulan data yang dimasukkan dalam formulir situs web, yang perlu dirinci dan didefinisikan dengan jelas.

Misalnya, ‘kami membagikan data pribadi Anda dengan mitra pemasaran tertentu’ tidak cocok untuk GDPR.

Menurut penelitian, eksfiltrasi email oleh pihak ketiga melalui pelacak melanggar setidaknya tiga persyaratan GDPR, yaitu prinsip transparansi, prinsip pembatasan tujuan, dan tidak adanya permintaan persetujuan.

Pelanggaran GDPR yang dikonfirmasi dapat dihukum dengan denda hingga 20.000.000 Euro atau hingga 4% dari omset tahunan global entitas.

Cara terbaik untuk mengatasi masalah ini adalah dengan memblokir semua pelacak pihak ketiga menggunakan pemblokir internal browser Anda. Semua browser utama memiliki pemblokir bawaan, dan Anda akan menemukannya di bagian privasi menu pengaturan.

Selain itu, layanan relai email pribadi memberi pengguna kemampuan untuk menghasilkan alamat email pseudonim, jadi meskipun seseorang mengambilnya, identifikasi tidak akan mungkin dilakukan.

Terakhir, bagi mereka yang ingin mengambil pendekatan yang lebih terlibat, para peneliti telah membuat dan merilis add-on browser bernama Leak Inspector, yang memantau peristiwa eksfiltrasi di situs mana pun dan memperingatkan pengguna yang sesuai.

Sumber: Bleeping Computer

Perusahaan perangkat lunak medis didenda €1,5 juta karena membocorkan data 490 ribu pasien

by

Otoritas perlindungan data Prancis (CNIL) mendenda vendor perangkat lunak medis Dedalus Biology dengan EUR 1,5 juta karena melanggar tiga pasal GDPR (Peraturan Perlindungan Data Umum).

Dedalus Biology memberikan layanan kepada ribuan laboratorium medis di negara ini dan denda adalah untuk mengekspos rincian sensitif dari 491.939 pasien dari 28 laboratorium.

Basis data bocor secara online dan mengungkapkan detail pasien berikut:

  • Nama lengkap
  • Nomor KTP
  • Nama dokter yang meresepkan
  • Tanggal pemeriksaan
  • Informasi medis seperti status HIV, kanker, penyakit genetik, kehamilan, perawatan, dll.
  • Informasi genetik (dalam beberapa kasus)

Informasi ini telah dibagikan secara luas di internet, sehingga klien Dedalus Biology menghadapi risiko rekayasa sosial, phishing, scammed, dan bahkan pemerasan.

Tanda-tanda pertama kebocoran database muncul sejak Maret 2020, dengan ANSSI mengeluarkan peringatan terkait ke salah satu laboratorium yang terpapar pada November 2020.

Pada Februari 2021, majalah Prancis ZATAZ menemukan penjualan kumpulan data tertentu di web gelap dan mengonfirmasi bahwa informasi itu valid.

Data bocor yang dijual di web gelap (ZATAZ)

Dedalus Biology melanggar pasal 29 undang-undang GDPR, yaitu kegagalan untuk mematuhi instruksi pengontrol. Lebih khusus lagi, selama migrasi dari perangkat lunak vendor yang berbeda, atas permintaan dua laboratorium medis, Dedalus mengekstrak lebih banyak informasi daripada yang dibutuhkan.

Pelanggaran kedua menyangkut pasal 32 GDPR, yang membuat pemroses data bertanggung jawab atas kegagalan mengamankan informasi.

Pasal ketiga GDPR yang dilanggar adalah nomor 28, yang mencakup kewajiban untuk memberikan kontrak formal atau tindakan hukum untuk pemrosesan data atas nama pengontrol (laboratorium).

Untuk pelanggaran di atas, CNIL memutuskan untuk mengenakan denda sebesar 1,5 juta Euro ($ 1,58 juta), dihitung sebagai 10% dari pendapatan tahunan perusahaan.

Meskipun Dedalus berharap untuk menerima hukuman yang lebih ringan berdasarkan kesediaannya untuk berkolaborasi dengan penyelidik CNIL, kantor perlindungan data mencatat bahwa perusahaan tidak mengambil langkah untuk membatasi penyebaran data yang bocor secara online, sehingga tidak ada dasar untuk mengenali faktor-faktor yang meringankan.

Sumber: Bleeping Computer

Redis, MongoDB, dan Elastic: database terekspos teratas tahun 2022

by

Peneliti keamanan telah memperhatikan peningkatan jumlah basis data yang terbuka secara publik ke Internet, dengan 308.000 diidentifikasi pada tahun 2021. Pertumbuhan terus berlanjut dari kuartal ke kuartal, memuncak pada bulan-bulan pertama tahun ini.

Pada kuartal pertama tahun 2022, jumlah basis data yang terpapar mencapai puncaknya menjadi 91.200 instance, kata peneliti intelijen dan riset ancaman Group-IB dalam sebuah laporan.

Jumlah database yang terbuka untuk setiap kuartal (Grup-IB)

Mengekspos database di depan publik internet dalam banyak kasus karena kesalahan konfigurasi. Peretas sering memburu mereka menggunakan sistem pengindeksan mesin pencari yang dapat dijangkau dari web terbuka untuk mencuri konten atau untuk pemerasan finansial.

Group-IB menggunakan solusi Manajemen Permukaan Serangan untuk memindai seluruh ruang IPv4 untuk port terbuka yang relevan untuk mengakses database dan untuk memeriksa apakah indeks atau tabel tersedia.

Tim Bobak, Pemimpin Produk Manajemen Permukaan Serangan di Group-IB, mengatakan bahwa solusi perusahaan terbatas untuk memeriksa apakah database terbuka atau tidak dan tidak memiliki kemampuan untuk mengumpulkan atau menganalisis konten database.

Data telemetri yang dikumpulkan dengan cara ini tidak menunjukkan apakah database terbuka rentan terhadap kelemahan keamanan atau jika pihak yang tidak berwenang mengaksesnya saat terpapar di web.

Sebagian besar instans terbuka yang ditemukan oleh Group-IB berada di server yang berbasis di server AS dan China, sementara Jerman, Prancis, dan India juga memiliki persentase yang mencolok.

Peta panas instans database terbuka (Group-IB)

Ketika datang ke sistem manajemen basis data yang digunakan dalam instans yang terpapar, kebanyakan dari mereka adalah Redis, dengan hampir dua kali lipat jumlah runner-up di Q1 2022, MongoDB. Elastis menyumbang porsi yang lebih kecil yaitu masih dalam puluhan ribu, sedangkan MySQL mencatat instance paling sedikit yang terdeteksi oleh Group-IB.

Jenis sistem manajemen basis data (Group-IB)

Sistem manajemen ini telah mengambil tindakan untuk memperingatkan admin saat mereka mengonfigurasi instans untuk akses publik tanpa kata sandi, tetapi masalah tetap ada.

Tujuan basis data tidak hanya untuk menyimpan data tetapi juga memungkinkan cara langsung dan nyaman untuk berbagi data ini, analisisnya oleh anggota tim lainnya.

Semakin banyak orang yang terlibat dalam proses manajemen basis data akhir-akhir ini, dan pada akhirnya mereka mencoba untuk memudahkan dan mempercepat akses jadi mengabaikan proses masuk seringkali merupakan cara yang paling mudah dan jelas bagi mereka.

Sayangnya, admin membutuhkan waktu rata-rata 170 hari untuk menyadari kesalahan konfigurasi dan memperbaiki masalah eksposur, yang lebih dari cukup bagi aktor jahat untuk menemukan instance dan menyedot kontennya.

Waktu yang dibutuhkan untuk memperbaiki kesalahan konfigurasi (Group-IB)

Paparan data tidak hanya menyebabkan hilangnya kepercayaan pelanggan dan gangguan bisnis, tetapi juga denda besar yang dikenakan oleh kantor perlindungan data karena kegagalan mengamankan informasi klien yang sensitif.

Bobak Grup-IB mencatat bahwa sebagian besar masalah yang mengganggu keamanan basis data dapat dengan mudah dicegah.

Tahun lalu, lebih dari 50% keterlibatan respons insiden kami berasal dari kesalahan keamanan berbasis perimeter yang dapat dicegah. Basis data yang menghadap publik, port terbuka, atau instans cloud yang menjalankan perangkat lunak yang rentan semuanya merupakan risiko penting tetapi pada akhirnya dapat dihindari. Karena kompleksitas jaringan perusahaan terus berkembang, semua perusahaan harus memiliki visibilitas lengkap atas permukaan serangan mereka. – Tim Bobak, Grup-IB

Keamanan basis data dapat dipastikan jika admin mengikuti langkah-langkah penting tertentu saat menyiapkan instans dan setelah sesi pemeliharaan. Ini dapat diringkas sebagai berikut: Selengkapnya

Sumber: Bleeping Computer

Dua Juta Data Kredensial Pengguna Domain .id Bocor

by

DarkTracer, platform online khusus untuk threat intelligence Dark Web dan Deep Web, melalui akun Twitter nya hari ini merilis daftar domain .id yang beberapa kredensial pengguna nya telah didistribusikan di Dark/Deep Web.

Sumber : @darktracer_int (twitter)

Total ada 2.180.233 kredensial dari 93.117 domain .id yang dilaporkan oleh DarkTracer. Sebagai catatan, kredensial-kredensial ini bocor dari pengguna yang situs yang telah terinfeksi malware pencuri informasi (information stealer). Tidak disebutkan malware pencuri informasi mana saja yang telah mendapatkan kredensial tersebut.

Pengguna situs diharapkan untuk segera mengganti password dan menerapkan Multi-Factor Authentication sesegera mungkin.

Sumber: https://twitter.com/darktracer_int/status/1513745569172574212?cxt=HHwWiMDSrebk84EqAAAA

Raksasa otomotif DENSO terkena geng ransomware Pandora baru

by

Produsen suku cadang otomotif DENSO telah mengkonfirmasi bahwa mereka mengalami serangan siber pada 10 Maret setelah operasi ransomware Pandora baru mulai membocorkan data yang diduga dicuri selama serangan tersebut.

DENSO adalah salah satu produsen komponen otomotif terbesar di dunia, memasok merek seperti Toyota, Mercedes-Benz, Ford, Honda, Volvo, Fiat, dan General Motors dengan berbagai macam kelistrikan, elektronik, kontrol powertrain, dan berbagai suku cadang khusus lainnya.

DENSO mengkonfirmasi akhir pekan ini bahwa jaringan perusahaan mereka di Jerman dibobol pada 10 Maret 2022. Perusahaan mengklaim telah mendeteksi akses ilegal dan segera merespon untuk memutuskan penyusup dari perangkat jaringan lainnya, membatasi dampaknya hanya pada divisi Jerman.

Gangguan dalam rantai pasokan DENSO akan menyebabkan efek domino dalam produksi mobil di berbagai fasilitas secara global, memukul industri yang sudah berjuang karena kekurangan chip dan penutupan pabrik yang berbasis di Ukraina.

Sementara DENSO menyatakan bahwa serangan siber tidak berdampak pada operasi mereka, geng ransomware Pandora baru mulai membocorkan 1,4 TB file yang diduga dicuri selama pelanggaran jaringan.

Pengumuman DENSO di portal kebocoran Pandora

Pandora ransomware adalah operasi baru yang diluncurkan pada Maret 2022 yang menargetkan jaringan perusahaan dan mencuri data untuk serangan pemerasan ganda.

Begitu mereka mendapatkan akses ke jaringan, pelaku ancaman akan menyebar secara lateral melalui jaringan sambil mencuri file tidak terenkripsi untuk digunakan dalam tuntutan pemerasan.

Saat mengenkripsi perangkat, ransomware akan menambahkan ekstensi .pandora ke nama file terenkripsi, seperti yang ditunjukkan di bawah ini.

File yang dienkripsi oleh ransomware Pandora
Sumber: BleepingComputer

Saat ransomware mengenkripsi file, Pandora akan membuat catatan tebusan di setiap folder bernama ‘Restore_My_Files.txt’. Catatan tebusan ini menjelaskan apa yang terjadi pada perangkat dan menyertakan alamat email yang dapat dihubungi korban untuk melakukan negosiasi tebusan.

Pandora ransom note example
Source: BleepingComputer

Catatan tebusan juga menyertakan tautan ke situs kebocoran data yang digunakan oleh geng ransomware untuk melakukan kampanye pemerasan ganda mereka.

Peneliti keamanan pancak3 percaya bahwa Pandora adalah rebrand dari ransomware Rook karena kesamaan kode dan paket yang digunakan oleh operasi tersebut.

Contoh ransomware Pandora terdeteksi di VirusTotal oleh Intezer sebagai Rook, yang menunjukkan kesamaan kode.

Lebih lanjut, peneliti keamanan Arkbird menemukan bahwa Pandora menggunakan paket yang dapat dieksekusi yang sama dengan ‘NightSky,’ yang merupakan rebranding sebelumnya dari operasi ransomware LockFile/AtomSilo.

Anehnya, Rook juga telah menerbitkan data pada Desember 2021 yang diduga milik DENSO, jadi tidak jelas apakah perusahaan tersebut terkena dua kali oleh operasi ransomware yang sama.

Operasi Ransomware biasanya mengganti nama diri mereka sendiri dengan apa yang oleh komunitas keamanan disebut sebagai ‘rebrand’ dengan harapan hal itu akan membantu mereka menghindari penegakan hukum dan kemungkinan sanksi dari pemerintah.

Namun, kecuali jika pelaku ancaman benar-benar mengubah kode, alat, dan taktik malware mereka, akan selalu ada cara untuk mendeteksi saat geng mengubah citra, membuatnya lebih mudah untuk menautkan ke operasi ransomware sebelumnya.

Jika Pandora adalah rebrand dari Rook, kita mungkin akan melihat operasi berjalan di bawah nama ini untuk beberapa waktu sebelum sekali lagi berganti nama menjadi nama lain, seperti yang telah kita lihat sebelumnya dengan versi lain dari keluarga ransomware ini.

Sumber : Bleeping Computer