Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Ransomware

Ransomware

Peretas Menjual Akses ke 576 Jaringan Perusahaan Seharga $4 Juta

by

Sebuah laporan baru menunjukkan bahwa peretas menjual akses ke 576 jaringan perusahaan di seluruh dunia dengan total harga penjualan kumulatif $4.000.000, memicu serangan terhadap perusahaan.

Meskipun jumlah penjualan untuk akses jaringan tetap sama seperti pada dua kuartal sebelumnya, harga permintaan kumulatif kini telah mencapai $4.000.000.

Jalan manuju ransomware

Pialang akses awal (IAB) adalah peretas yang menjual akses ke jaringan perusahaan, biasanya dicapai melalui pencurian kredensial, webshell, atau mengeksploitasi kerentanan dalam perangkat keras yang terbuka untuk umum.

Alasan IAB memilih untuk tidak memanfaatkan akses jaringan bervariasi, mulai dari kurangnya keterampilan intrusi yang beragam hingga memilih untuk tidak mengambil risiko peningkatan masalah hukum.

statistik babak 3 2022

Pada babak ketiga tahun 2022, analis KELA mengamati 110 pelaku ancaman memposting 576 penawaran akses awal dengan total nilai kumulatif $4.000.000.


Volume bulanan penjualan akses awal (KELA)

Harga jual rata-rata listing ini adalah $2.800, sedangkan harga jual rata-rata mencapai rekor $1.350.


Harga jual akses awal (KELA)

KELA juga melihat kasus akses tunggal yang ditawarkan untuk pembelian dengan harga astronomi $3.000.000. Namun, daftar ini tidak termasuk dalam statistik dan total Q3 ’22 karena keraguan tentang keasliannya.


Negara yang paling banyak ditargetkan oleh IAB di Q3 (KELA)

Ketika melihat sektor yang ditargetkan, layanan profesional, manufaktur, dan teknologi menempati urutan teratas dengan masing-masing 13,4%, 10,8%, dan 9,4%. Sekali lagi, serangan ransomware memiliki peringkat yang sama, menekankan hubungan antara keduanya.


IAB sektor yang paling banyak ditargetkan di Q3 (KELA)

Karena broker akses awal telah menjadi bagian integral dari rantai serangan ransomware, mengamankan jaringan Anda dengan benar dari gangguan sangat penting.

Peretas Rusia Bertanggung Jawab Atas Sebagian Besar Skema Ransomware 2021, Kata AS

by

WASHINGTON, 1 November (Reuters) – Perangkat lunak pencari pembayaran yang dibuat oleh peretas Rusia digunakan di tiga perempat dari semua skema ransomware yang dilaporkan ke AS.

Jaringan Penegakan Kejahatan Keuangan AS (FinCEN) mengatakan telah menerima 1.489 pengajuan terkait ransomware senilai hampir $1,2 miliar pada tahun 2021, melonjak 188% dari tahun sebelumnya.

Dari 793 insiden ransomware yang dilaporkan ke FinCEN pada paruh kedua tahun 2021, 75% “memiliki hubungan dengan Rusia, proksinya, atau orang yang bertindak atas namanya,” kata laporan itu.

Pada tanggal 31 Oktober, Washington menjadi tuan rumah pertemuan dengan pejabat dari 36 negara dan Uni Eropa, serta 13 perusahaan global untuk mengatasi meningkatnya ancaman ransomware dan kejahatan dunia maya lainnya, termasuk penggunaan cryptocurrency secara ilegal.

Bank U.S. Memproses sekitar 18,7 Miliar Rupiah dalam Pembayaran Ransomware pada 2021, menururt laporan federal

by

Bank dan lembaga keuangan AS memproses sekitar $1,2 miliar kemungkinan pembayaran ransomware pada tahun 2021, rekor baru dan hampir tiga kali lipat jumlah tahun sebelumnya.

Lebih dari setengah serangan ransomware dikaitkan dengan tersangka peretas siber Rusia, menurut laporan baru yang dirilis Selasa dari Jaringan Penegakan Kejahatan Keuangan Departemen Keuangan, atau FinCEN, yang menganalisis data.

CEO Perusahaan Joseph Blount Jr. membayar penjahat siber yang berbasis di Rusia sebesar $5 juta. Departemen Kehakiman kemudian memulihkan sekitar setengah dari uang tebusan

36 pemimpin negara dan EU bertemu pada selasa di Washington. untuk membahas penanggulangan yang efektif terhadap ancaman ransomware. Serangan Ransomware adalah jenis serangan siber di mana peretas memasang perangkat lunak berbahaya di komputer atau server yang mengancam akan merilis data atau memblokir akses ke sana hingga uang tebusan dibayarkan.

FinCEN mengatakan terdapat 1.489 insiden ransomware yang menelan biaya hampir $1,2 miliar tahun lalu, peningkatan substansial dari $416 juta dalam kerusakan yang tercatat pada tahun 2020, menurut laporan tersebut.

Analisis FinCEN mencakup tahun 2021, dengan fokus pada paruh kedua tahun ini. Badan tersebut mengatakan empat dari lima serangan ransomware teratas yang dilaporkan selama periode ini terkait dengan Rusia. Sekitar 75% insiden terkait ransomware juga terkait dengan negara.

Bulan Maret, Biden menandatangani tindakan yang mengharuskan beberapa bisnis untuk melaporkan insiden siber tertentu dan pembayaran ransomware ke Badan Keamanan, Infrastruktur, dan Keamanan Siber. CISA juga meluncurkan kampanye untuk mengurangi risiko ransomware pada Januari 2021.

sumber : cnbc

Microsoft menautkan worm Raspberry Robin ke serangan ransomware Clop

by

Microsoft mengatakan kelompok ancaman yang dilacak sebagai DEV-0950 menggunakan ransomware Clop untuk mengenkripsi jaringan korban yang sebelumnya terinfeksi worm Raspberry Robin.

Aktivitas jahat DEV-0950 tumpang-tindih dengan kelompok kejahatan dunia maya bermotivasi finansial yang dilacak sebagai FIN11 dan TA505, yang dikenal karena menyebarkan ransomware Clop payloads pada sistem target.

Selain ransomware, Raspberry Robin juga telah digunakan untuk menjatuhkan muatan tahap kedua lainnya ke perangkat yang disusupi, termasuk IcedID, Bumblebee, dan Truebot.

“Mulai pada 19 September 2022, Microsoft mengidentifikasi infeksi cacing Raspberry Robin yang menyebarkan IcedID dan—kemudian pada korban lain—bumblebee dan muatan TrueBot,” kata analis Microsoft Security Threat Intelligence.

“Pada Oktober 2022, peneliti Microsoft mengamati infeksi Raspberry Robin diikuti oleh aktivitas Cobalt Strike dari DEV-0950. Aktivitas ini, yang dalam beberapa kasus termasuk infeksi Truebot, akhirnya menyebarkan ransomware Clop.”

Ini mengisyaratkan operator Raspberry Robin yang menjual akses awal ke sistem perusahaan yang disusupi ke geng ransomware dan afiliasi yang kini memiliki cara tambahan untuk masuk ke jaringan target mereka selain email phishing dan iklan berbahaya.

Pada akhir Juli, Microsoft juga mengatakan telah mendeteksi perilaku pra-ransomware Evil Corp di jaringan di mana broker akses dilacak sebagai DEV-0206 menjatuhkan backdoor FakeUpdates (alias SocGholish) pada perangkat yang terinfeksi Raspberry Robin.

Ekosistem kejahatan dunia maya Raspberry Robin (Microsoft)

Terlihat pada September 2021 oleh analis intelijen Red Canary, Raspberry Robin menyebar ke perangkat lain melalui perangkat USB yang terinfeksi yang berisi file .LNK berbahaya.

Setelah perangkat USB terpasang dan pengguna mengklik tautan, worm akan menelurkan proses msiexec menggunakan cmd.exe untuk meluncurkan file berbahaya kedua yang disimpan di drive yang terinfeksi.

Pada perangkat Windows yang disusupi, ia berkomunikasi dengan server perintah dan kontrolnya (C2). Itu juga mengirimkan dan mengeksekusi eksekusi tambahan setelah melewati Kontrol Akun Pengguna (UAC) pada sistem yang terinfeksi menggunakan beberapa utilitas Windows yang sah (fodhelper, msiexec, dan odbcconf).

Hari ini, perusahaan mengungkapkan bahwa worm telah menyebar ke sistem milik hampir 1.000 organisasi dalam sebulan terakhir.

Sumber: Bleeping Computer

Magniber ransomware sekarang menginfeksi pengguna Windows melalui file JavaScript

by

Kampanye jahat yang mengirimkan ransomware Magniber telah menargetkan pengguna rumahan Windows dengan pembaruan keamanan palsu.

Pelaku ancaman dibuat pada bulan September dengan situs web yang mempromosikan antivirus palsu dan pembaruan keamanan untuk Windows 10. File berbahaya yang diunduh (arsip ZIP) berisi JavaScript yang memulai infeksi rumit dengan malware enkripsi file.

Laporan dari Analis HP mencatat, operator ransomware Magniber menuntut pembayaran hingga $2.500 bagi pengguna rumahan untuk menerima alat dekripsi dan memulihkan file mereka. Ketegangan berfokus secara eksplisit pada Windows 10 dan Windows 11 build.

Windows build yang ditargetkan oleh Magniber (HP)

Pada April 2022, Magniber terlihat didistribusikan sebagai pembaruan Windows 10 melalui jaringan situs web jahat.

Pada bulan Januari, operatornya menggunakan pembaruan browser Chrome dan Edge untuk mendorong file paket aplikasi Windows (.APPX) yang berbahaya.

Dalam kampanye sebelumnya, pelaku ancaman menggunakan file MSI dan EXE. Untuk yang baru-baru ini aktif, itu beralih ke file JavaScript yang memiliki nama berikut:

  • SYSTEM.Critical.Upgrade.Win10.0.ba45bd8ee89b1.js
  • SYSTEM.Security.Database.Upgrade.Win10.0.jse
  • Antivirus_Upgrade_Cloud.29229c7696d2d84.jse
  • ALERT.System.Software.Upgrade.392fdad9ebab262cc97f832c40e6ad2c.js

File-file ini dikaburkan dan menggunakan variasi teknik “DotNetToJScript” untuk mengeksekusi file .NET di memori sistem, menurunkan risiko deteksi oleh produk antivirus yang tersedia di host.

File .NET menerjemahkan kode shell yang menggunakan pembungkusnya sendiri untuk membuat panggilan sistem tersembunyi, dan memasukkannya ke dalam proses baru sebelum mengakhiri prosesnya sendiri.

Shellcode menghapus file salinan bayangan melalui WMI dan menonaktifkan fitur pencadangan dan pemulihan melalui “bcdedit” dan “wbadmin.” Ini meningkatkan kemungkinan mendapatkan bayaran karena korban memiliki satu opsi lebih sedikit untuk memulihkan file mereka.

Untuk melakukan tindakan ini, Magniber menggunakan pintasan untuk fitur Kontrol Akun Pengguna (UAC) di Windows.

Itu bergantung pada mekanisme yang melibatkan pembuatan kunci registri baru yang memungkinkan menentukan perintah shell. Pada langkah selanjutnya, utilitas “fodhelper.exe” dijalankan untuk menjalankan skrip untuk menghapus salinan bayangan.

Setelah itu Magniber mengenkripsi file di host dan menjatuhkan catatan tebusan yang berisi instruksi bagi korban untuk memulihkan file mereka.

Rantai infeksi baru (HP) Magniber

Analis HP memperhatikan bahwa sementara Magniber mencoba membatasi enkripsi hanya untuk jenis file tertentu, pseudohash yang dihasilkannya selama pencacahan tidak sempurna, yang menghasilkan tabrakan hash dan “kerusakan jaminan”, yaitu, mengenkripsi jenis file yang tidak ditargetkan juga .

Pengguna rumahan dapat mempertahankan diri dari serangan ransomware dengan membuat cadangan reguler untuk file mereka dan menyimpannya di perangkat penyimpanan offline. Hal ini memungkinkan pemulihan data ke sistem operasi yang baru diinstal. Sebelum memulihkan data, pengguna harus memastikan bahwa cadangan mereka tidak terinfeksi.

Sumber: Bleeping Computer

Microsoft memperingatkan tentang serangan ransomware yang tidak biasa

by

Microsoft telah menandai bagian baru dari ransomware yang menyerang organisasi transportasi dan logistik di Ukraina dan Polandia.

Microsoft belum melihat penyerang menggunakan eksploitasi perangkat lunak tertentu tetapi semua serangan menggunakan kredensial akun admin Active Directory yang dicuri.

Catatan tebusan mengidentifikasi dirinya sebagai “ranusomeware Prestise”, menurut Microsoft Threat Intelligence Center (MSTIC).

Ransomware diluncurkan pada 11 Oktober dan menonjol bagi para peneliti karena itu adalah contoh langka di Ukraina dari penyebaran ransomware di seluruh perusahaan dan berbeda dari 94 geng ransomware lain yang dilacak Microsoft.

Selain itu, profil korban selaras dengan aktivitas negara Rusia baru-baru ini dan tumpang tindih dengan korban malware perusak HermeticWiper yang disebarkan pada awal invasi Rusia ke Ukraina. Pemerintah AS pada bulan Februari khawatir malware yang sama dapat digunakan terhadap organisasi AS.

MSTIC mengatakan kampanye Prestige terpisah dari HermeticWiper dan malware destruktif lainnya yang telah disebarkan di beberapa operator infrastruktur penting Ukraina dalam dua minggu terakhir. Microsoft telah melacak malware destruktif yang dikerahkan terhadap organisasi Ukraina sejak Januari.

MSTIC melacak aktivitas ini sebagai DEV-0960. DEV adalah istilah untuk aktor ancaman yang sebelumnya tidak dikenal. Ini akan menggabungkan aktivitas grup dengan aktor ancaman yang dikenal, seperti Nobelium, yang merupakan grup di balik serangan rantai pasokan SolarWinds, jika membuat koneksi ke grup tertentu.

Grup ini menggunakan beberapa alat yang tersedia untuk umum untuk eksekusi kode jarak jauh dan meraih kredensial administrator dengan hak istimewa tinggi. Tapi MSTIC tidak tahu bagaimana penyerang mendapatkan akses awal ke jaringan. Diduga penyerang sudah memiliki kredensial istimewa dari kompromi sebelumnya. Dalam semua kasus, bagaimanapun aktor memperoleh akses, mereka sudah memiliki hak tingkat admin domain sebelum menyebarkan ransomware.

Microsoft menguraikan tiga metode utama yang digunakan kelompok tersebut dalam satu jam setiap serangan. Fakta bahwa mereka menggunakan beberapa metode, bukan satu, tidak biasa.

Mengingat kurangnya kerentanan perangkat lunak yang diketahui para penyerang digunakan, Microsoft telah menyediakan beberapa tindakan yang dapat digunakan organisasi untuk melindungi diri mereka sendiri, termasuk dengan mengaktifkan perlindungan tamper untuk menghentikan perubahan pada antivirus dan untuk mengaktifkan otentikasi multi-faktor. Mitigasi tersebut antara lain:

  • Blokir kreasi proses yang berasal dari perintah PSExec dan WMI untuk menghentikan gerakan lateral menggunakan komponen WMIexec dari Impacket
  • Aktifkan perlindungan Tamper untuk mencegah serangan berhenti atau mengganggu Microsoft Defender
  • Aktifkan perlindungan yang diberikan cloud di Microsoft Defender Antivirus atau yang setara
  • Aktifkan MFA dan pastikan MFA diterapkan untuk semua konektivitas jarak jauh – termasuk VPN

Sumber: ZD Net

Afiliasi ransomware Netwalker dijatuhi hukuman 20 tahun penjara

by

Mantan afiliasi Netwalker ransomware Sebastien Vachon-Desjardins telah dijatuhi hukuman 20 tahun penjara dan dituntut untuk kehilangan $ 21,5 juta untuk serangannya terhadap perusahaan Tampa dan entitas lainnya.

Vachon-Desjardins, seorang pria Kanada 34 yang diekstradisi dari Quebec dijatuhi hukuman di pengadilan Florida setelah mengaku bersalah atas ‘Konspirasi untuk melakukan Penipuan Komputer’, ‘Konspirasi untuk Melakukan Penipuan Kawat’, ‘Kerusakan yang Disengaja pada Komputer yang Dilindungi,’ dan ‘Mentransmisikan Permintaan Terkait dengan Merusak Komputer yang Dilindungi.’

Selain hukuman tersebut, Vachon-Desjardins juga diharuskan menjalani tiga tahun pembebasan yang diawasi setelah dia keluar dari penjara. Selama jangka waktu ini, Vachon-Desjardins tidak akan diizinkan untuk memiliki pekerjaan di bidang teknologi informasi atau menggunakan komputer yang dapat terhubung ke Internet, termasuk smartphone, perangkat game, atau perangkat elektronik lainnya.

Hakim memerintahkan penyitaan terhadap terdakwa sebesar $ 21,5 juta, di mana 27,65 Bitcoin, yang sudah dipegang oleh penegak hukum, akan dikreditkan ke jumlah tersebut.

Pada 27 Januari 2021, ketika DOJ AS mendakwa Desjardins, operasi penegakan hukum internasional menyita situs web Netwalker, termasuk situs pembayaran Tor dan kebocoran data mereka.

Netwalker adalah operasi Ransomware-as-a-Service (RaaS) yang diluncurkan pada 2019, merekrut afiliasi untuk menyebarkan ransomware dengan imbalan 60-75% bagian dari semua pembayaran tebusan.

Vachon-Desjardins beroperasi sebagai afiliasi untuk operasi ransomware, di mana diyakini dia melakukan serangan terhadap perusahaan di seluruh dunia, termasuk perusahaan AS dan setidaknya 17 entitas Kanada.

Selama serangan ini, operasi ransomware akan mencuri data dari sistem perusahaan dan pada akhirnya mengenkripsi perangkat. Untuk memulihkan file dan mencegah rilis data, pelaku ancaman memeras para korban untuk membayar permintaan tebusan mulai dari ratusan ribu hingga jutaan dolar.

Mantan situs kebocoran data ransomware Netwalker
Sumber: BleepingComputer

Vachon-Desjardins sebelumnya ditangkap di Gatineau, Quebec, pada 27 Januari 2021, ketika penegak hukum menyita 719 Bitcoin dan $790.000 dalam mata uang Kanada saat menggeledah rumahnya. Dia kemudian dijatuhi hukuman 6 tahun delapan bulan penjara setelah mengaku bersalah di depan hakim Ontario. Vachon-Desjardins diekstradisi ke Amerika Serikat pada Maret 2022.

Alat pencurian data Ransomware mungkin menunjukkan pergeseran dalam taktik pemerasan

by

Malware pemusnahan data yang dikenal sebagai Exmatter dan sebelumnya ditautkan dengan grup ransomware BlackMatter kini ditingkatkan dengan fungsionalitas korupsi data yang mungkin mengindikasikan taktik baru yang mungkin digunakan oleh afiliasi ransomware di masa mendatang.

Sampel baru ditemukan oleh analis malware dengan tim Operasi Khusus Cyderes selama respons insiden baru-baru ini setelah serangan ransomware BlackCat dan kemudian dibagikan dengan tim Stairwell Threat Research untuk analisis lebih lanjut (Symantec melihat sampel serupa digunakan dalam serangan ransomware Noberus).

Sementara Exmatter telah digunakan oleh afiliasi BlackMatter setidaknya sejak Oktober 2021, ini adalah pertama kalinya alat berbahaya itu terlihat menggunakan modul yang merusak.

Taktik menggunakan data dari satu file yang dieksfiltrasi untuk merusak file lain mungkin merupakan bagian dari upaya untuk menghindari ransomware atau deteksi berbasis heuristik penghapus yang dapat memicu saat menggunakan data yang dibuat secara acak.

Seperti yang ditemukan oleh peneliti ancaman Stairwell, kemampuan penghancuran data yang diimplementasikan sebagian dari Exmatter kemungkinan masih dalam pengembangan mengingat bahwa:

Tidak ada mekanisme untuk menghapus file dari antrian korupsi, yang berarti bahwa beberapa file dapat ditimpa berkali-kali sebelum program dihentikan, sementara yang lain mungkin tidak pernah dipilih.

Fungsi yang membuat instance kelas Eraser, bernama Erase, tampaknya tidak sepenuhnya diimplementasikan dan tidak didekompilasi dengan benar.

Panjang potongan file kedua, yang digunakan untuk menimpa file pertama, ditentukan secara acak dan bisa sesingkat satu byte.

Fitur korupsi data ini merupakan perkembangan yang menarik, dan meskipun juga dapat digunakan untuk menghindari perangkat lunak keamanan, peneliti di Stairwell dan Cyderes berpikir ini mungkin bagian dari perubahan strategi yang digunakan oleh afiliasi ransomware.

Banyak operasi ransomware berjalan sebagai Ransomware-as-a-Service, di mana operator/pengembang bertanggung jawab mengembangkan ransomware, situs pembayaran, dan menangani negosiasi, sementara afiliasi bergabung untuk menembus jaringan perusahaan, mencuri data, menghapus cadangan, dan mengenkripsi perangkat .

Sebagai bagian dari pengaturan ini, operator ransomware menerima antara 15-30% dari setiap pembayaran tebusan, dan afiliasi menerima sisanya.

Namun, operasi ransomware telah dikenal di masa lalu untuk memperkenalkan bug yang memungkinkan peneliti keamanan membuat dekripsi yang membantu korban memulihkan file secara gratis.

Ketika ini terjadi, afiliasi kehilangan potensi pendapatan yang akan mereka terima sebagai bagian dari pembayaran tebusan.

Karena itu, para peneliti percaya bahwa fitur korupsi data baru ini bisa menjadi perubahan baru dari serangan ransomware tradisional, di mana data dicuri dan kemudian dienkripsi, ke serangan di mana data dicuri dan kemudian dihapus atau rusak.

Di bawah metode ini, afiliasi dapat menyimpan semua pendapatan yang dihasilkan dari serangan, karena mereka tidak perlu berbagi persentase dengan pengembang encryptor.

“Afiliasi juga kehilangan keuntungan dari penyusupan yang berhasil karena kelemahan yang dapat dieksploitasi dalam ransomware yang disebarkan, seperti halnya dengan BlackMatter, ransomware yang terkait dengan penampilan sebelumnya dari alat eksfiltrasi berbasis .NET ini,” tambah Cyderes.

Menghancurkan data sensitif setelah mengekstraknya ke server mereka akan mencegah hal ini terjadi dan kemungkinan besar juga akan bertindak sebagai insentif tambahan bagi korban untuk membayar permintaan tebusan.

Ini mungkin mengapa kami melihat alat eksfiltrasi dalam proses ditingkatkan dengan kemampuan korupsi data dalam pengembangan yang kemungkinan akan memungkinkan afiliasi RaaS untuk menghapus bagian penyebaran ransomware dalam serangan mereka untuk menyimpan semua uang untuk diri mereka sendiri.

Sumber: Bleeping Computer