Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Ransomware

Ransomware

FBI memperingatkan serangan ransomware Vice Society di distrik sekolah

by

FBI, CISA, dan MS-ISAC hari ini memperingatkan distrik sekolah AS yang semakin menjadi sasaran kelompok ransomware Vice Society, dengan lebih banyak serangan diperkirakan terjadi setelah awal tahun ajaran baru.

Mereka juga “mengantisipasi serangan dapat meningkat saat tahun ajaran 2022/2023 dimulai dan kelompok ransomware kriminal melihat peluang untuk serangan yang berhasil.”

Penasihat memberikan indikator kompromi (IOCs) dan taktik, teknik, dan prosedur (TTPs) yang diamati oleh FBI dalam serangan baru-baru ini pada September 2022.

Serangan terhadap sektor pendidikan, terutama yang menargetkan taman kanak-kanak hingga lembaga K-12, berdampak besar pada operasi mereka, mulai dari akses terbatas ke jaringan dan data, ujian yang tertunda, dan hari-hari sekolah yang dibatalkan hingga pencurian informasi pribadi milik siswa dan sekolah. staf.

Salah satu serangan tersebut diungkapkan hari ini oleh Los Angeles Unified (LAUSD), distrik sekolah terbesar kedua di AS, setelah serangan ransomware menjatuhkan beberapa sistem Teknologi Informasi (TI) selama akhir pekan—LAUSD belum mengaitkan serangan tersebut ke geng ransomware tertentu.

Pembela jaringan disarankan untuk mengambil langkah-langkah untuk mempertahankan dan membatasi dampak serangan ransomware, termasuk memprioritaskan dan memulihkan kerentanan yang diketahui dieksploitasi, melatih pengguna mereka untuk mengenali dan melaporkan upaya phishing yang biasa digunakan sebagai vektor serangan awal, dan mengaktifkan dan menerapkan otentikasi multifaktor.

FBI juga meminta para korban untuk membagikan catatan dan informasi lain yang terkait dengan serangan tersebut.

“FBI mencari informasi apa pun yang dapat dibagikan, untuk memasukkan log batas yang menunjukkan komunikasi ke dan dari alamat IP asing, contoh catatan tebusan, komunikasi dengan aktor Vice Society, informasi dompet Bitcoin, file dekripsi, dan/atau sampel jinak dari file terenkripsi,” kata badan penegak hukum federal.

Vice Society adalah kelompok ancaman yang dikenal menyebarkan beberapa jenis ransomware di jaringan korban mereka, seperti ransomware Hello Kitty/Five Hands dan Zeppelin.

Mereka juga mencuri data sensitif dari sistem yang disusupi sebelum enkripsi dan kemudian menggunakannya untuk pemerasan ganda, mengancam korbannya untuk membocorkan data yang dicuri jika permintaan tebusan mereka tidak dibayar.

Salah satu korban kelompok baru-baru ini adalah Universitas Kedokteran Austria Innsbruck yang terpaksa mengatur ulang semua 3.400 kata sandi akun siswa dan 2.200 karyawan setelah gangguan layanan TI yang parah dan data yang dicuri dalam serangan itu bocor di situs kebocoran data geng.

Analis ancaman Emsisoft Brett Callow mengatakan bahwa serangan ransomware telah mengganggu pendidikan di sekitar 1.000 universitas, perguruan tinggi, dan sekolah selama tahun 2021.

Sumber: Bleeping Computer

Google mengatakan mantan anggota ransomware Conti sekarang menyerang Ukraina

by

Google mengatakan beberapa mantan anggota geng kejahatan dunia maya Conti, yang sekarang menjadi bagian dari kelompok ancaman yang dilacak sebagai UAC-0098, menargetkan organisasi Ukraina dan organisasi non-pemerintah (LSM) Eropa.

UAC-0098 adalah broker akses awal yang dikenal menggunakan trojan perbankan IcedID untuk memberikan akses kepada grup ransomware ke sistem yang disusupi dalam jaringan perusahaan.

Grup Analisis Ancaman (TAG), tim khusus pakar keamanan yang bertindak sebagai kekuatan pertahanan bagi pengguna Google dari serangan yang disponsori negara, mulai melacak grup ancaman ini pada bulan April setelah mendeteksi kampanye phishing yang mendorong pintu belakang AnchorMail yang terkait dengan Conti.

Serangan kelompok ini diamati antara pertengahan April hingga pertengahan Juni, dengan seringnya perubahan taktik, teknik, dan prosedur (TTP), perkakas, dan umpan, sementara menargetkan organisasi Ukraina (seperti jaringan hotel) dan menyamar sebagai Polisi Siber Nasional dari Ukraina atau perwakilan dari Elon Musk dan StarLink.

Dalam kampanye berikutnya, UAC-0098 terlihat mengirimkan muatan berbahaya IcedID dan Cobalt Strike dalam serangan phishing yang menargetkan organisasi Ukraina dan LSM Eropa.

Situs berbagi file yang mengirimkan muatan berbahaya UAC-0098 (Google TAG)

Tautan ke grup kejahatan dunia maya Conti
Google TAG mengatakan atribusinya didasarkan pada beberapa tumpang tindih antara UAC-0098, Trickbot, dan grup kejahatan dunia maya Conti.

“TAG menilai UAC-0098 bertindak sebagai perantara akses awal untuk berbagai kelompok ransomware termasuk Quantum dan Conti, geng kejahatan dunia maya Rusia yang dikenal sebagai FIN12 / WIZARD SPIDER.

“Aktivitas UAC-0098 adalah contoh representatif dari garis kabur antara kelompok yang bermotivasi finansial dan yang didukung pemerintah di Eropa Timur, yang menggambarkan tren pelaku ancaman yang mengubah penargetan mereka agar selaras dengan kepentingan geopolitik regional.”

Aktivitas kelompok ancaman yang terdeteksi dan diungkapkan hari ini oleh Google juga sejalan dengan laporan sebelumnya dari IBM Security X-Force dan CERT-UA, yang juga mengaitkan serangan terhadap organisasi Ukraina dan entitas pemerintah dengan geng kejahatan dunia maya TrickBot dan Conti.

Beberapa geng ransomware yang disusupi oleh anggota Conti termasuk BlackCat, Hive, AvosLocker, Hello Kitty, dan operasi Quantum yang baru-baru ini dihidupkan kembali.

Anggota Conti lainnya sekarang menjalankan operasi pemerasan data mereka sendiri yang tidak mengenkripsi data, seperti BlackByte, Karakurt, dan kolektif Bazarcall.

Selengkapnya : Bleeping Computer

Ransomware BlackCat mengklaim serangan terhadap agen energi Italia

by

Geng ransomware BlackCat/ALPHV mengaku bertanggung jawab atas serangan yang menghantam sistem agen energi Italia Gestore dei Servizi Energetici SpA (GSE) selama akhir pekan.

GSE adalah perusahaan milik publik yang mempromosikan dan mendukung sumber energi terbarukan (RES) di seluruh Italia.

GSE mengungkapkan bahwa situs web dan sistemnya diturunkan untuk memblokir penyerang mendapatkan akses ke data setelah mendeteksi serangan pada Minggu malam—situs web GSE masih tidak aktif, hampir seminggu setelah insiden tersebut.

Sebelum pengungkapan GSE, grup ransomware BlackCat menambahkan entri baru ke situs kebocoran data web gelapnya yang mengklaim telah mencuri sekitar 700GB file dari server badan energi Italia.

Para penyerang mengatakan bahwa file yang dicuri berisi data rahasia, termasuk kontrak, laporan, informasi proyek, dokumen akuntansi, dan dokumentasi internal lainnya.

Serangan ini menyusul insiden lain yang melibatkan Eni SpA, perusahaan energi terbesar di Italia, dengan lebih dari 31.000 karyawan yang beroperasi di pasar nasional dan internasional.

Eni SpA juga mengungkapkan bahwa baru-baru ini diretas sebagai bagian dari serangan siber yang menurut perusahaan memiliki konsekuensi kecil pada operasinya.

Awal tahun ini, BlackCat juga mengatakan berada di balik serangan ransomware terhadap Creos Luxembourg S.A., jaringan pipa gas alam dan operator jaringan listrik dari Eropa Tengah, dan perusahaan pemasok bensin Jerman Oiltanking.

Situs GSE masih down (BleepingComputer)

Operasi ransomware BlackCat/ALPHV diluncurkan pada November 2021 dan diyakini sebagai rebrand dari geng DarkSide/BlackMatter.

Geng ransomware pertama kali mendapatkan ketenaran sebagai DarkSide setelah menyerang Colonial Pipeline dan mendarat di garis bidik penegakan hukum internasional.

Meskipun mereka berganti nama menjadi BlackMatter pada Juli 2021, mereka dengan cepat terpaksa ditutup lagi pada November, setelah server geng disita dan Emsisoft menemukan dan mengeksploitasi kelemahan ransomware untuk membuat decryptor.

Grup ini dianggap sebagai salah satu ancaman ransomware paling signifikan yang saat ini menargetkan perusahaan di seluruh dunia.

Sejauh ini, telah dikaitkan dengan serangan terhadap perusahaan seperti penyedia layanan penanganan kargo maskapai Swissport dan grup mode Moncler.

Baru-baru ini, BlackCat juga telah mengembangkan taktik pemerasannya, meluncurkan basis data baru yang dapat dicari dari data curian yang membuat serangan pemerasan ganda kelompok itu semakin merusak korban.

Pada bulan April, FBI memperingatkan bahwa BlackCat memiliki “jaringan dan pengalaman luas dengan operasi ransomware” karena mereka telah melanggar lebih dari 60 entitas di seluruh dunia antara November 2021 dan Maret 2022.

Sumber: Bleeping Computer

Laporan Bitdefender mengidentifikasi Nama Domain dan Trojan Android teratas

by

Pada bulan Juli, Bitdefender mengidentifikasi 205 keluarga ransomware sebagai bagian dari Debrief Ancaman Bitdefender Agustus perusahaan.

Bitdefender’s August Bitdefender Threat Debrief (BDTD) adalah seri bulanan yang bertujuan untuk menganalisis berita ancaman, tren, dan penelitian dari bulan sebelumnya. Pada bulan Juli, peneliti Bitdefender melihat deteksi ransomware, bukan infeksi, dan menghitung total kasus, bukan seberapa signifikan dampak infeksi secara moneter.

Ransomware

Analis Bitdefender mengidentifikasi 205 kelompok ransomware pada bulan Juli, dengan jumlah kelompok ransomware yang terdeteksi bervariasi setiap bulan tergantung pada kampanye ransomware saat ini di berbagai negara. WannaCry adalah keluarga ransomware yang paling banyak terdeteksi, terhitung 37 persen. Robin berada di urutan kedua dengan 20 persen.

Para analis mendeteksi ransomware dari 151 negara dalam kumpulan datanya bulan ini karena ransomware terus menjadi ancaman yang menyentuh hampir seluruh dunia. Banyak serangan ransomware terus menjadi oportunistik, dan ukuran populasi berkorelasi dengan jumlah deteksi. Amerika Serikat adalah yang paling terkena dampak ransomware, terhitung 24 persen, diikuti oleh Brasil 17 persen dan India 14 persen.

Trojan Android

Perusahaan solusi keamanan siber global juga menganalisis 10 Trojan teratas yang menargetkan Android yang telah dilihat perusahaan dalam telemetrinya selama bulan Juli.

Downloader.DN, aplikasi yang dikemas ulang yang diambil dari Google app store dan dibundel dengan adware agresif, adalah Trojan terbesar yang menargetkan Android sebesar 43 persen. Berikutnya adalah malware SMSSend.AYE (33 persen) yang mencoba mendaftar sebagai aplikasi SMS default saat pertama kali dijalankan dengan meminta persetujuan pengguna.

Sumber: Cybersecurity Connect

Geng pemerasan ‘Donut Leaks’ terkait dengan serangan ransomware baru-baru ini

by

Grup pemerasan data baru bernama ‘Donut Leaks’ terkait dengan serangan siber baru-baru ini, termasuk yang terjadi pada perusahaan gas alam Yunani DESFA, firma arsitektur Inggris Sheppard Robson, dan perusahaan konstruksi multinasional Sando.

Selama akhir pekan, DESFA mengonfirmasi bahwa mereka mengalami serangan siber setelah Ragnar Locker membocorkan tangkapan layar dari data yang diduga dicuri.

Awal bulan ini, Sheppard Robson mengungkapkan serangan ransomware dan upaya pemerasan tetapi tidak memberikan rincian tentang siapa yang meretas jaringannya.

Terakhir, Hive Ransomware mengklaim bulan lalu telah menyerang Sando tetapi hanya merilis arsip kecil file sebagai ‘bukti’ serangan tersebut.

Anehnya, data para korban tersebut kini telah muncul di situs kebocoran data geng pemerasan yang sebelumnya tidak dikenal bernama Donut Leaks. Selain itu, data yang dibagikan di situs Donut Leaks jauh lebih luas daripada yang dibagikan di situs ransomware, yang menunjukkan bahwa aktor ancaman baru ini terlibat dalam serangan tersebut.

Siapa Kebocoran Donat?
BleepingComputer pertama kali mengetahui kelompok pemerasan Donut Leaks dari seorang karyawan salah satu korban, yang memberi tahu kami bahwa pelaku ancaman melanggar jaringan perusahaan untuk mencuri data.

Setelah pelaku ancaman selesai mencuri data, mereka mengirim email berisi URL situs pemerasan Tor ke mitra bisnis dan karyawan korban.

Situs Tor ini terdiri dari blog yang mempermalukan dan situs penyimpanan data yang memungkinkan pengunjung menelusuri dan mengunduh semua data yang dicuri dan bocor.

Blog tersebut berisi entri untuk lima korban, dengan semua kecuali satu berisi deskripsi umum perusahaan dan tautan ke data curian mereka.

Namun, untuk salah satu entri, pelaku ancaman tampaknya mengambil pendekatan yang lebih agresif, berbagi foto pesta Natal yang dicuri dan kata-kata kasar yang panjang terhadap perusahaan.

Situs kebocoran data Kebocoran Donat
Sumber: BleepingComputer

Server penyimpanan data curian menjalankan aplikasi File Browser, yang memungkinkan pengunjung menelusuri semua data curian yang disimpan di server, yang dipecah oleh korban.

Meskipun hanya ada lima korban yang terdaftar di situs yang mempermalukan, server penyimpanan berisi apa yang tampaknya menjadi sepuluh korban.

Seperti yang Anda lihat di bawah, tiga korban terkait dengan serangan baru-baru ini yang diungkapkan oleh Sheppard Robson dan DESFA, dengan Sando sebelumnya diklaim oleh Hive. BleepingComputer telah menyunting nama-nama perusahaan lain karena mereka belum mengumumkan bahwa mereka mengalami serangan siber.

Menurut statistik File Browser, pelaku ancaman telah membocorkan sekitar 2,8 TB data curian dari sepuluh korban ini.

Tidak diketahui apakah pelaku ancaman menyebarkan ransomware ketika melanggar jaringan atau hanya kelompok pemerasan data.

Namun, Sheppard Robson mengungkapkan bahwa serangan terbaru mereka adalah serangan ransomware.

Selanjutnya, dua operasi ransomware yang berbeda mengklaim bertanggung jawab atas DESFA (Ragnar Locker) dan SANDO (Hive).

Ini kemungkinan berarti bahwa aktor ancaman yang menjalankan Donut Leaks adalah penguji pena atau afiliasi untuk Hive, Ragnar Locker, dan mungkin operasi ransomware lainnya.

Dalam percakapan sebelumnya dengan ‘pentesters’ untuk Ragnar Locker, pelaku ancaman memberi tahu kami bahwa mereka bekerja untuk beberapa operasi Ransomware-as-a-Service untuk menyediakan akses afiliasi ke jaringan internal. Dalam beberapa kasus, pentester ini akan mencuri data dan menyimpannya sendiri jika mereka merasa bahwa data tersebut memiliki nilai.

Kelompok pemerasan baru ini menggambarkan bagaimana data curian sampai ke tangan banyak kelompok, dengan masing-masing mencoba metodenya sendiri untuk memeras korban.

Ini juga menunjukkan bahwa membayar permintaan tebusan mungkin tidak selalu mencegah kebocoran data Anda dan masih dapat menyebabkan tuntutan pemerasan lebih lanjut.

Sumber: Bleeping Computer

Malware SOVA menambahkan fitur ransomware untuk mengenkripsi perangkat Android

by

Trojan perbankan Android SOVA terus berkembang dengan fitur baru, peningkatan kode, dan penambahan fitur ransomware baru yang mengenkripsi file di perangkat seluler.

Dengan rilis terbaru, malware SOVA sekarang menargetkan lebih dari 200 aplikasi perbankan, pertukaran cryptocurrency, dan dompet digital, mencoba mencuri data pengguna dan cookie sensitif dari mereka.

Selain itu, fitur refactored dan kode yang ditingkatkan yang membantunya beroperasi lebih tersembunyi pada perangkat yang disusupi, sementara versi terbarunya, 5.0, menambahkan modul ransomware.

Analis ancaman di perusahaan keamanan seluler Cleafy telah mengikuti evolusi SOVA sejak pengumuman proyek pada September 2021 dan melaporkan bahwa perkembangannya meningkat pesat pada 2022.

Pada Maret 2022, SOVA merilis versi 3, menambahkan intersepsi 2FA, pencurian cookie, dan suntikan baru untuk banyak bank di seluruh dunia. Suntikan adalah hamparan yang ditampilkan di atas permintaan masuk yang sah yang digunakan untuk mencuri kredensial, seperti untuk aplikasi bank online.

Pada Juli 2022, tim pengembangan SOVA merilis versi 4, yang mengambil hingga 200 aplikasi yang ditargetkan, dan menambahkan kemampuan VNC (komputasi jaringan virtual) untuk penipuan di perangkat.

Aplikasi bank yang ditargetkan oleh SOVA v3 (kiri) dan SOVA v4 (kanan) (Cleafy)

Malware mengirimkan daftar aplikasi yang diinstal ke C2 dan menerima XML yang berisi daftar alamat yang mengarah ke overlay yang benar untuk dimuat saat korban membuka aplikasi yang ditargetkan.

Versi utama keempat juga menambahkan dukungan untuk perintah seperti mengambil tangkapan layar, melakukan klik dan gesekan, menyalin dan menempel file, dan menyajikan layar overlay sesuka hati.

Rilis ini juga melihat pemfaktoran ulang kode yang signifikan dalam mekanisme pencuri cookie, sekarang menargetkan Gmail, GPay, dan Google Password Manager.

Kode pencuri cookie yang difaktorkan ulang (Cleafy)

SOVA v4 menambahkan beberapa perlindungan terhadap tindakan defensif, menyalahgunakan izin Aksesibilitas untuk mendorong pengguna kembali ke layar beranda jika mereka mencoba mencopot pemasangan aplikasi secara manual.

Terakhir, versi keempat berfokus pada Binance dan aplikasi ‘Trust Wallet’ platform, menggunakan modul khusus yang dibuat untuk mencuri frase benih rahasia pengguna.

Baru-baru ini, Cleafy mengambil sampel rilis awal SOVA v5, yang dilengkapi dengan banyak perbaikan kode dan penambahan fitur baru seperti modul ransomware.

Modul ransomware baru SOVA (Cleafy)

Modul ini menggunakan enkripsi AES untuk mengunci semua file di perangkat yang terinfeksi dan menambahkan ekstensi “.enc” pada file yang telah diubah namanya dan dienkripsi.

Versi kelima belum diedarkan secara luas, dan modul VNC-nya hilang dari sampel awal, jadi kemungkinan versi ini masih dalam pengembangan.

Bahkan dalam bentuknya yang belum selesai saat ini, SOVA v5 siap untuk penyebaran massal, menurut Cleafy, jadi kewaspadaan disarankan untuk semua pengguna Android.

Hal ini membuat SOVA menjadi ancaman dengan intensitas yang semakin meningkat, karena trojan perbankan sekarang menetapkan dirinya sebagai salah satu pelopor ruang ransomware seluler yang masih belum dijelajahi.

Sumber: Bleeping Computer

Cisco diretas oleh geng ransomware Yanluowang, 2.8GB diduga dicuri

by

Cisco hari ini mengkonfirmasi bahwa kelompok ransomware Yanluowang melanggar jaringan perusahaannya pada akhir Mei dan bahwa aktor tersebut mencoba memeras mereka di bawah ancaman membocorkan file curian secara online.

Perusahaan mengungkapkan bahwa penyerang hanya dapat memanen dan mencuri data yang tidak sensitif dari folder Box yang ditautkan ke akun karyawan yang disusupi.

“Pada 10 Agustus, aktor jahat menerbitkan daftar file dari insiden keamanan ini ke web gelap. Kami juga telah menerapkan langkah-langkah tambahan untuk melindungi sistem kami dan membagikan detail teknis untuk membantu melindungi komunitas keamanan yang lebih luas.”

Email Yanluowang ke Cisco

Pelaku ancaman Yanluowang memperoleh akses ke jaringan Cisco menggunakan kredensial curian karyawan setelah membajak akun Google pribadi karyawan yang berisi kredensial yang disinkronkan dari browser mereka.

Penyerang meyakinkan karyawan Cisco untuk menerima pemberitahuan push multi-factor authentication (MFA) melalui kelelahan MFA dan serangkaian serangan phishing suara canggih yang diprakarsai oleh geng Yanluowang yang meniru organisasi pendukung tepercaya.

Kelelahan MFA adalah taktik serangan di mana pelaku ancaman mengirimkan aliran konstan permintaan otentikasi multi-faktor untuk mengganggu target dengan harapan bahwa mereka akhirnya akan menerima satu untuk menghentikan mereka dari yang dihasilkan.

Pelaku ancaman akhirnya menipu korban untuk menerima salah satu notifikasi MFA dan mendapatkan akses ke VPN dalam konteks pengguna yang ditargetkan.

Begitu mereka mendapatkan pijakan di jaringan perusahaan perusahaan, operator Yanluowang menyebar secara lateral ke server Citrix dan pengontrol domain.

Setelah mendapatkan admin domain, mereka menggunakan alat enumerasi seperti ntdsutil, adfind, dan secretdump untuk mengumpulkan lebih banyak informasi dan memasang serangkaian muatan ke sistem yang disusupi, termasuk malware pintu belakang.

Pada akhirnya, Cisco mendeteksi dan mengusir penyerang dari lingkungannya, tetapi mereka terus mencoba untuk mendapatkan kembali akses selama beberapa minggu berikutnya.

Untuk membantu admin jaringan dan profesional keamanan mendeteksi malware yang digunakan dalam serangan, Cisco membuat dua deteksi ClamAV baru untuk pintu belakang dan eksploitasi Windows yang digunakan untuk peningkatan hak istimewa.

Menangkan.Mengeksploitasi.Kolobko-9950675-0
Menangkan.Pintu Belakang.Kolobko-9950676-0

Sementara Cisco memberikan beberapa informasi tentang pintu belakang dan bagaimana itu digunakan untuk mengeksekusi perintah dari jarak jauh, tulisan mereka tidak menyebutkan info tentang eksploit yang dapat dieksekusi yang ditemukan.

Namun, menurut deteksi di VirusTotal, eksploitasinya adalah untuk CVE-2022-24521, kerentanan Windows Common Log File System Driver Elevation of Privilege, yang dilaporkan oleh NSA dan CrowdStrike ke Microsoft dan ditambal pada April 2022.

Peretas mengklaim mencuri data dari Cisco
Pekan lalu, aktor ancaman di balik peretasan Cisco mengirim email ke BleepingComputer daftar direktori file yang diduga dicuri selama serangan itu.

Pelaku pengancam mengaku telah mencuri data sebesar 2,75GB yang terdiri dari sekitar 3.100 file. Banyak dari file-file ini adalah perjanjian non-disclosure, dump data, dan gambar teknik.

Pelaku ancaman juga mengirim dokumen NDA yang disunting yang dicuri dalam serangan tersebut ke BleepingComputer sebagai bukti serangan dan “petunjuk” bahwa mereka melanggar jaringan Cisco dan mengekstrak file.

Dokumen bukti pelanggaran Cisco (BleepingComputer)

Hari ini, pemeras mengumumkan pelanggaran Cisco di situs kebocoran data mereka dan menerbitkan daftar direktori yang sama yang sebelumnya dikirim.

Cisco juga mengatakan bahwa, meskipun geng Yanluowang dikenal karena mengenkripsi file korban mereka, mereka tidak menemukan bukti muatan ransomware selama serangan tersebut.

Geng Yanluowang juga mengklaim baru-baru ini melanggar sistem pengecer Amerika Walmart yang membantah serangan itu, mengatakan kepada BleepingComputer bahwa mereka tidak menemukan bukti serangan ransomware.

Pembaruan: Menambahkan lebih banyak info tentang aktivitas Yanluowang dalam jaringan perusahaan Cisco.
Pembaruan 8/11/22: Menambahkan info tentang deteksi ClamAV dan mengeksploitasi executable yang digunakan dalam serangan.

Sumber: Bleeping Computer

GwisinLocker ransomware secara eksklusif menargetkan Korea Selatan

by

Para peneliti memperingatkan ransomware baru yang disebut GwisinLocker yang mampu mengenkripsi server ESXi Windows dan Linux. Ransomware menargetkan perusahaan perawatan kesehatan, industri, dan farmasi Korea Selatan, namanya berasal dari nama penulis ‘Gwisin’ (hantu dalam bahasa Korea).

Ransomware didistribusikan melalui serangan yang ditargetkan terhadap organisasi tertentu.

Para ahli juga melaporkan bahwa nama-nama entitas Korea Selatan, seperti polisi Korea, Badan Intelijen Nasional, dan KISA, tercantum dalam catatan tebusan.

Aktor ancaman Gwisin memukul perusahaan Korea pada hari libur dan dini hari menurut media lokal.

Rantai serangan pada sistem Windows memanfaatkan penginstal MSI dan memerlukan nilai khusus sebagai argumen untuk menjalankan file DLL yang disertakan dalam MSI.

“Ini mirip dengan Magniber karena beroperasi dalam bentuk penginstal MSI. Namun tidak seperti Magniber yang menargetkan individu acak, Gwisin tidak melakukan perilaku jahat sendiri, membutuhkan nilai khusus untuk argumen eksekusi. Nilai tersebut digunakan sebagai informasi kunci untuk menjalankan file DLL yang disertakan dalam MSI.”

“Dengan demikian, file itu sendiri tidak melakukan aktivitas ransomware pada produk keamanan dari berbagai lingkungan sandbox, sehingga sulit untuk mendeteksi Gwisin. DLL internal ransomware beroperasi dengan disuntikkan ke dalam proses Windows normal. Prosesnya berbeda untuk setiap perusahaan yang terinfeksi.”

Ransomware GwisinLocker dapat beroperasi dalam mode aman, pertama-tama menyalin dirinya sendiri ke jalur ProgramData tertentu dan kemudian terdaftar sebagai layanan sebelum memaksa sistem reboot.

Sumber Ahnlab

Peneliti dari Reversinglabs menganalisis versi Linux dari ransomware, mereka menunjukkan bahwa itu adalah malware canggih dengan fitur yang dirancang khusus untuk mengelola host Linux dan menargetkan mesin virtual VMWare ESXI. GwisinLocker menggabungkan enkripsi kunci simetris AES dengan hashing SHA256, yang menghasilkan kunci unik untuk setiap file.

Para korban varian GwisinLocker Linux diharuskan masuk ke portal yang dioperasikan oleh grup untuk menghubungi para penjahat.

“Analisis dan pelaporan publik dari kampanye GwisinLocker yang lebih besar menunjukkan bahwa ransomware ada di tangan aktor ancaman canggih yang mendapatkan akses ke dan kontrol atas lingkungan target sebelum penyebaran ransomware. Itu termasuk mengidentifikasi dan mencuri data sensitif untuk digunakan dalam apa yang disebut kampanye “pemerasan ganda”. menyimpulkan laporan yang diterbitkan oleh Reversinglabs.

“Rincian dalam contoh catatan tebusan kelompok menunjukkan keakraban dengan bahasa Korea serta pemerintah Korea Selatan dan penegak hukum. Hal ini menimbulkan spekulasi bahwa Gwisin mungkin adalah kelompok ancaman persisten lanjutan (APT) yang terkait dengan Korea Utara”

Sumber : Security Affairs